事故から学ぶ

クラウドファンディング支援者の個人情報が閲覧可能に – 関東大学バレーボール連盟

事故概要

業種 関東大学バレーボール連盟
発生時期 2020/11/18
漏えい人数 40
事故概要

関東大学バレーボール連盟は、クラウドファンディングの支援者を対象に実施したアンケートで、回答内容が流出したことを明らかにした。
同連盟によれば、クラウドファンディング「大学生に集大成の場を。大学バレー秋季代替大会開催へ。」の支援者を対象に実施したアンケートにおいて、11月18日22時前から翌19日10時ごろにかけて、回答内容が閲覧可能となっていたもの。
アンケートを記入するフォームの設定ミスにより、回答者が回答後の完了画面で表示されるリンクから、他回答者の回答内容を閲覧できる状態だった。
閲覧された可能性があるのは、最大40人の回答情報。氏名や住所、電話番号、メールアドレス、ユーザー名、支援額、コメントなどが含まれる。
11月18日22時過ぎに回答者から指摘が寄せられ、翌19日朝に同連盟では問題へ気がついたという。指摘を受けて回答情報の閲覧ができないよう設定を変更するとともに、対象となる回答者へメールで謝罪した。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

HP掲載後の点検確認不足である。何を確認すべきかが定義されていない。

具体例:

個人情報の誤掲載はしばしば発生するが、原因はひとつ、確認不足である。
個人情報誤掲載防止の確認であるから、掲載したコンテンツとリンク先の2つの面での確認が必要である。
さらに個人情報掲載の基準がなければ、判断にもブレが生じるので、基準の定義と確認手順、承認を得るための合格基準を明らかすべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。