事故から学ぶ

ディンプル、不正アクセスで12万件の個人情報流出の可能性

事故概要

業種 株式会社ディンプル
発生時期 2019/06/13
漏えい人数 120,000人
事故概要

求人掲載や就業スタッフの登録や、登録者がマイページ機能を使いプロフィール作成などを行なっていたサイトが外部からの不正アクセスを受けたため、本サイトの停止及びアクセス遮断を行った。
本サイトには、求人応募したり、会員登録した約12万件の個人情報が保存されており、第三者の専門調査機関にて原因究明・情報流出の可能性について調査を行っている。
現時点において、個人情報が流出したという形跡は確認されておらず、また、本件に関連する被害報告はないとしている。
ただ、万一流出していた場合は不正利用の恐れが考えられるため、不審な電話・メールに十分ご注意するよう案内している。
また、該当する銀行口座のパスワードを個人情報から推察しやすいものに設定されている登録者には、パスワードへの変更措置も同時にあんないしている。
漏えいした可能性がある個人情報は以下の通り。
・氏名(フリガナ)、生年月日、性別、住所・郵便番号、電話番号、本サイトのログイン用メールアドレス、ログイン用パスワード。
・一部の方については、上記に加えて、最終学歴・職歴や給与振込み銀行名・支店名・口座番号。
※銀行口座パスワードやクレジットカードに関する情報は含まれていないとしている。

引用元 株式会社ディンプル

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
3-23 22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

クラウドなどのシステムの外部サービスを利用したことでの漏洩事案である。サービス会社に任せれば安心、というより、まかせっぱなしにしていないだろうか。
仮にサービス会社のミスで個人情報が漏えいしたとしても、責任は依頼者も負わなければならない、と法で定義されている。漏えいされた人へのお詫び、対策は依頼者が前面に立って対応することになる。

具体例:

ホームページなどのWebサービスは、レンタルサーバやクラウドサービスなどを利用する会社が大半である。色々なメリットがあり、セキュリティに関しても自社で行うより強固かつ低価格で対応してもらえる安心感がある。しかし、依頼者が注意すべきは「絶対安心」ではない、ということである。依頼者も今起きている不正アクセスなどの事例をもとに、サービス提供をしている会社の担当者から対策のヒアリングを行い、委託先も巻き込んで注意喚起をし続けるべきである。システム会社のミスも少なくない。決して放任してはならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。