事故から学ぶ

お客様情報の不適切な保管及び流出の可能性に関するお知らせとお詫び 株式会社アドバンテッジリスクマネジメント

事故概要

業種 株式会社アドバンテッジリスクマネジメント
発生時期 2018/4/10- 2021/1/26
漏えい人数 14384
事故概要

このたび、当社が東京海上日動メディカルサービス株式会社、ネオス株式会社(以下「弊社ら」といいます。)と共同して提供しているサービス「アドバンテッジEAP」(以下「本サービス」といいます。)において、本サービスの利用方法等に関するお問い合わせを承る「お問い合わせフォーム」に入力された情報のログデータが、特定のURLを入力することにより外部より閲覧可能な状態で保存されていたことが判明いたしました。
1.経緯と対応
2021年1月26日、本サービスのシステム管理を担当しているネオス株式会社(東京都千代田区神田須田町1丁目23-1住友不動産神田ビル2号館10F)におけるシステム保守作業において、同社が管理するサーバー内に保管されている「お問い合わせフォーム」のログが、特定のURLを介して外部から参照できる状態となっていることが判明いたしました。対象となるデータは、判明後、直ちに外部から閲覧ができない場所へ退避しております。なお、今回問題が判明した「お問い合わせフォーム」は、本サービスの本体とは切り離された別のシステムで運用されているため、上記の対象となっている情報は「お問い合わせフォーム」に入力された情報に限定されており、その他本サービスを利用して実施されたご相談事項をはじめとしたコミュニケーションについては、同様の問題は発生しておりません。
2.当該情報が閲覧可能となっていた期間
2018年4月10日 ~ 2021年1月26日 11:15
3.閲覧可能となっていた情報
ご利用者様の所属企業名
所属企業における社員番号
ご利用者様の氏名
ご利用者様の生年月日
お問い合わせの際に利用したメールアドレス
電話番号(お問い合わせフォーム上で入力を行った一部のご利用者様)
お問い合わせ種別
お問い合わせ内容
4.影響範囲
以下の件数および人数の情報が外部から閲覧可能な状態となっておりました。
おい合わせ件数:14,384件
お問い合わせ人数:12,019名
5.被害の状況
現時点において、当該情報の不正利用に関する報告やお問い合わせはございません。また、当該情報についてランダムに抽出してインターネット検索を実施していますが、当該情報がインターネットで不正に公開されている状況は確認されておりません。
当該状況については、今後も継続的に監視することとしていますので、状況の変化が確認された際には、速やかにお知らせいたします。
6.原因
2018年4月10日に実施した「お問い合わせフォーム」のリリース作業時に、同機能の動作確認等のために設定したログの出力先を、作業担当者の設定ミスにより外部より閲覧できる場所に指定していたことによるものです。この度は皆様に多大なるご心配とご迷惑をおかけしておりますことを、改めてお詫び申しあげます。弊社らは今回の事態を厳粛に受け止め、再発防止に向けてより一層の情報管理体制の強化・徹底に努めてまいります。

引用元 株式会社アドバンテッジリスクマネジメント

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-9(第20条)安全管理措置 作業ルールの徹底(システム管理)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

原因は、社外のクラウド型お問い合わせ管理システムの利用における権限設定の不備により、第三者によるアクセス可能な状態にあったため、と特定されているが、個人情報漏えい事故の原因追及はさらに踏み込み、なぜ、その設定が許され、なぜ誤った設定時に防げなかったのかまで踏み込む必要がある。

具体例:

システム設定のすべてに誤操作による注意喚起メッセージがでるわけではない。したがって必ずミスをするであろう人間の操作が正しいか、人間とシステム自身の両方で確認できるような仕組みを作っていく必要がある。
注意喚起と再教育だけではなく、誤操作を防ぐ仕組みづくりが必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。