事故から学ぶ

アンケート回答情報が閲覧可能となっていたことに関するお詫びとご報告 エムオーテックス株式会社

事故概要

業種 エムオーテックス株式会社
発生時期 2021/4/15
漏えい人数 166
事故概要

この度、2021年4月14日(水)に開催したLanScopeAnセミナーにおいて、個人情報を含むアンケート回答情報に関し、閲覧が可能であったことが判明いたしました。
弊社は、今回の事態を重く受け止め、改めて個人情報の取り扱いに関して、厳重な管理を徹底するとともに、運用及び管理体制の見直しを図り、再発防止に努めてまいります。回答者様をはじめ関係者の皆様に、深くお詫びを申し上げます。
1.発生経緯
2021年4月14日(水)開催のLanScopeAnセミナーに参加された61名のお客様のうち45名が、セミナー終了後の14時30分から14時56分までの間、過去開催セミナーに参加された166件のアンケートデータを閲覧できる状況になっておりました。
4月14日14時30分セミナー終了後、ご参加者様にアンケートのWebフォームのリンクをご案内。
14時42分一部のご参加者様からのご連絡によって、過去のご参加者様の回答済み情報が閲覧できる状態であることが判明。
14時56分誤ったWebフォームを削除、アンケート情報を閲覧不可とした。
2.原因
セミナー終了後アンケートのWebフォームにて、過去のご参加者様の回答情報が閲覧できるリンクを誤ってご案内してしまったことが原因です。
3.閲覧が可能となっていたデータ
2020年11月17日から2021年3月17日に開催したLanScopeAnセミナーに参加頂いたお客様145名、166件の以下アンケート回答が閲覧可能となっておりました。
・企業名、氏名、メールアドレス
・従業員数、セミナー内容を踏まえたご希望
・ツールの導入予定時期、パソコン・スマホの台数
・その他のご質問・ご要望
4.データ閲覧が可能であった方
4月14日(水)のLanScopeAnセミナーに事前申し込み頂き、当日のセミナーに参加された61名のうち、セミナー終了後の14時30分から14時56分までの間にアンケートを記入しようとされました45名の方に、当該データが閲覧可能となっておりました。
5.お客様への対応
個人情報が閲覧可能となっていたお客様に対しては、弊社よりお電話、メールで、お詫びと経緯のご説明をさせて頂いております。
また、他のお客様の個人情報が閲覧可能であったお客様に対しましても、お電話、メールにて同様の対応をさせて頂いております。
6.再発防止策
システム対策として、必要な従業員以外がデータを閲覧できないよう、システムの設定を変更しました。
また、社内での個人情報をはじめお客様に関する情報の取り扱いと運用体制を再度見直し、ミスが発生しないための取り組みを実施し、
再発防止に努めてまいります。

引用元 エムオーテックス株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。