1.概 要
ふるさと島根定住財団(以下、「財団」という)の管理している企業管理システムにおける、財団(ジョブカフェしまね)が主催するイベント等において、本来であれば主催者である財団のみにシステムから自動的に送信される学生等の参加申込の情報が、過去に当財団が窓口対応した企業3社に同様のメールが送信されていたことが判明いたしました。
12 月 19 日に誤って送信されていた企業のうち1社から財団への問い合わせがあったため、今回の個人情報の漏えいが判明いたしました。
漏えい判明後、応急対応として速やかに財団のイベント等の申込管理機能から誤ってメールが送信される設定は解除し、その後当該システムを開発した事業者から原因調査の結果報告がありました。
また、個人情報を漏えいしてしまった財団主催のイベント等の参加申込希望者に対しては、漏えい判明後の 12 月 21 日にメール、メールが不達だった参加申込をされた方へは 12月 22 日に書面にて状況の説明と謝罪を行いました。
なお、企業3社に漏えいした個人情報がさらに外部に漏えいした事実は確認されておりません。
2.漏えいした情報
⑴ 誤送信されたメールの総件数
3,661 件(X社 1,836 件、Y社 1,820 件、Z社 5 件)
⑵ 実人数 1,238 名(X社 1,238 名、Y社 1,230 名、Z社 3 名)
⑶ 個人情報の内容 氏名、メールアドレス、電話番号、住所等
⑷ 対象イベント等 しまね1Day仕事体験、しまね就職活動等応援助成金 など
3.経 過
| 日付 | 時間 | 事案 |
|---|---|---|
| 令和6年11月27日 | 企業カルテシステムの機能改修 | |
| 令和7年3月5日 | X社の来訪を受けたため、企業カルテに登録 | |
| 令和7年3月13日 | Y社の来訪を受けたため、企業カルテに登録 | |
| 令和7年12月18日 | Z社の来訪を受けたため、企業カルテに登録 | |
| 令和7年12月19日 | 16 時 00 分 | Z社からの連絡により個人情報の漏えいが判明 |
| 17 時 10 分 | 企業管理システム上から確認し、上記3社にメールによる個人情報の漏えいが判明したため、当財団理事長、事務局長へ報告 | |
| 17 時 15 分 |
|
|
| 18 時 00 分 |
X社、Y社へ電話による連絡で経緯説明 ※Z社は不通のためメールで経緯説明 |
|
| 令和7年12月20日 | 11 時 15 分 | システム開発事業者から調査報告 |
| 令和7年12月21日 | 16 時 35 分 | X社、Y社、Z社へ経緯説明及び個人情報の削除をメールにて依頼 |
| 17 時 10 分 | 漏えいした学生等へ経緯説明のためメールにて通知 | |
| 令和7年12月22日 | 8 時 15 分 | メールで不達だった13名の学生等へ書面にて通知(郵送) |
| 14 時 00 分 | 個人情報保護委員会への報告 |
4.原 因
⑴ システムに関する両者(財団と開発事業者)の認識不足。
⑵ 企業の採用ツール(求人掲載、イベント掲載)として、当財団が管理する「企業管理システム」と、財団内部の顧客管理ツールとして運用している「企業カルテシステム」に関して、両システムに登録している企業情報が突合できるように R6 年 11 月にシステム改修を行いました。
いずれも、独自のログイン画面を有するシステムではありますが、両システムに同一のブラウザで同時にログインし、さらに複数の条件が重なった際にのみ生じる不具合を、財団及び開発事業者ともに、正確に認識できていませんでした。
そのため、通常業務の一環として、両システムにログインして、相談企業の対応履歴や企業情報を入力した際に、漏えい先 3 社の担当者メールアドレスが当財団の担当者連絡先として追加登録されてしまい、財団主催イベント等への申込者情報が通知メールとして同時送信されていました。
5.今後の対応と再発防止策
⑴ 2つのシステムを同時に使用し誤作動が生じないよう、根本的なシステムの改修を行います。なお、改修が完了するまでの間、財団内で今回の事案が発生した経緯や原因について、職員間で情報を共有し、同一のブラウザで2つのシステムを使用することがないよう管理を徹底します。
⑵ 現在受付中のしまね1Day仕事体験やしまね就職活動等応援助成金などの参加申込については、システムの応急対応をしておりますので、引き続き参加申込を受け付けております。
