事故から学ぶ

中小企業庁のウェブサイトにて、問い合わせ利用者の個人情報が流出

事故概要

業種 経済産業省 国
発生時期 2020/8/3-2021/4/6
漏えい人数 12
事故概要

この度、ミラサポplusサイトにおいて個人情報が漏洩していることが判明致しました。このような事態を招き、利用者をはじめ関係者の皆様にご迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。
1.経緯
2021年4月6日、ミラサポplus運営事務局コールセンターより外部から問合わせがあったと連絡が入り調査したところ、ミラサポplusサイト内に、第三者がアクセス可能な状態となっている個人情報等(コメントを送信した方の氏名及びコメント内容)を確認しました。
2.流失した件数
12件
3.流失した情報の詳細
① アクセス可能な状態になっていた情報:
ミラサポplusサイトへログイン後に、お知らせ記事や経営のヒントの記事ページ下部に表示される「この記事に関するご意見・ご感想」にコメントを送信した方の氏名及び送信したコメントの一部又は全部。
② アクセス可能となっていた期間:2020年8月3日から2021年4月6日まで
4.事故後の対応
2021年4月6日、運営事務局において、第三者がアクセス可能となっていた情報を削除しました。
7日には、第三者に氏名及びコメントの一部又は全部を閲覧された可能性がある12名のお客様へ、メールで本件に関するご連絡とお詫びを行いました。
本件の原因となったウェブサイトの問題箇所につきましては、既に対策を講じ、今後、同様の事態が発生しないことを確認しております。
今回の事態を真摯に受け止め、所轄官庁への報告・相談を継続的に実施するとともに、利用者情報の管理体制について、今後、更なる厳格化を図り、再発防止に全力で取り組むと共に信頼の回復に努めてまいります。
経緯と対応について、上記のとおりご報告いたしますとともに、利用者をはじめ関係者の皆様に多大なご迷惑・ご心配をお掛けしますことを深くお詫び申し上げます。

引用元 経済産業省

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-9(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

Webサービスからの情報流出 サービスの設定確認をWeb上のタスク管理ツール「Trello」からの情報流出が問題になっている。
この問題はTrello自体の不具合ではなく、利用者が意図せず公開設定をしたため発生している。
株式会社SPECは、採用面接対象の学生の個人情報を誤って公開設定にし、流出させたことを発表した。

Trelloに限らず、クラウドサービスを利用する際にはアクセス制御の設定は欠かせない。
サービスによっては、企業で集中管理する機能を持ち、外部公開を禁止したり、社内のみで利用できるよう設定できる場合もある。
今一度利用しているサービスのセキュリティ設定や利用方法の周知・教育状況を確認したい。

具体例:

プリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。