事故から学ぶ

ソースコード上にメールアドレスが認識される状態にある不具合についてのお詫び ブクログサービス

事故概要

業種 ブックレビューサイト
発生時期 2018/12/25-2020/10/20
漏えい人数 未発表
事故概要

この度、ブクログサービスにおいて、ソースコード上にメールアドレスが認識される状態にあるとのご指摘を受け、事実関係を調査いたしましたところ、各ご利用者様の本棚ページのソースコード上にご利用者様ご本人のメールアドレスが表示されている事実を確認いたしました。
本棚を公開されているご利用者様におかれましては、不特定な人物にメールアドレスを見られてしまう可能性があり、直ちにメールアドレスが記載されている個所を削除いたしました。
現在のところ、本件によるメールアドレスの流出や被害は報告されておりません。
このような事態を招いたことを重く受け止め、個人情報の取り扱いには厳重に注意するとともに、今後、このような事態を起こさないよう取り扱いについて改めて徹底をはかってまいる所存でございます。

経緯
2020年10月20日16時頃にご利用者様よりご指摘を受け発覚いたしました。
2018年12月25日にサイトの改修を行った時から、メールアドレスがソースコード上に表示されたままとなっており、指摘後、直ちに削除しております。2020年10月20日までにブクログをご利用いただいている方のうち、本棚の公開設定を行われた上に、メールアドレスをご登録いただいているご利用者様となります。本棚を非公開設定されているご利用者様は対象ではありません。
再発防止策
個人情報やセンシティブなデータにアクセスする際のプロセスを見直し、第三者機関の監視を強化するなど人為的ミスが起こらない体制を構築してまいります。また、今後も継続的に、全従業員に対し 個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。
※ソースコードとはプログラミング言語で書かれている、コンピュータプログラムを表現する文字列のことを指します。

引用元 株式会社ブクログ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

ホームページに情報掲載する際の検閲制度の不備である。1年10か月にわたり情報を掲載し続け、他人からの指摘で初めて判明した、というのは、体制不備の甚だしい。

具体例:

業務規程の不備である。個人情報保護に誰も責任を持っていない無責任さが露呈した。
2度と起こさない、という状況を作るためには、現時点をスタートラインとするなら、日常業務に相当の負担、負荷、手順変更が生じるが、できていないことがスタートラインなのでやむを得ない。そのぐらいひどい状態だ、という認識のもと、業務改善に取り組んでいただきたい。ホームページの確認だけであれば、専門業者に依頼することも可能である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。