恋活・婚活マッチングアプリ大手「Omiai（オミアイ）」を運営するネットマーケティング（本社・東京、東証1部上場）は21日、会員情報を管理するサーバーが不正アクセスを受け、運転免許証など約171万件分の画像データが流出した可能性が高いと発表した。現時点で不正利用の情報はないとしているが、異常に気づいてから21日の公表・利用者への連絡開始まで3週間以上たっていた。
同社によると、流出した可能性が高いのは、会員が年齢確認のためにアップロードした運転免許証や健康保険証、パスポート、マイナンバーカードの表面などの画像データ。暗号化はしていなかった。2018年1月31日～21年4月20日の提出分で、約6割が運転免許証という。会員時のトラブルが後で発覚した場合などに備え、退会後も10年間は画像データを保存しておく規定になっているといい、すでに退会した人のデータも含まれる。
画像データに含まれていた個人情報は名前や住所、生年月日、顔写真など。マイナンバーも1件確認された。記載されているマイナンバーカードの裏面は提出しないよう求めていたが「誤って提出されていた」という。クレジットカード情報は流出していないという。
4月28日にサーバーに不審な動きがあり、点検したところ、不正アクセスの痕跡を確認。通信ログを調べた結果、4月20～26日に数回にわたって画像データが外部流出した可能性が高いことが判明したという。
公表まで3週間以上かかったことについて、同社は「外部の専門会社の協力を得て、不正アクセスの影響の範囲や大量の個人情報の中身の解析などを進めていた。結果的に公表まで3週間以上たってしまい、深く反省している」としている。
同社は5月21日から対象者におわびと説明を始めたほか、電話相談窓口や問い合わせフォームを設置した。「現時点では被害の相談や申し出は来ていない」としている。総務省や警察に報告・相談したという。
オミアイは12年2月に運営を始めた業界の先駆け的なサービスで、累計アカウント数は約600万に上るという。
セキュリティー会社カスペルスキーの石丸傑研究員は「個人を特定しやすい運転免許証の画像などが100万件以上、漏れたならば（流出事案として）大きい。なりすましの被害にあったり、ネット上で情報が売買されたりする危険がある」と指摘。その上で「画像を暗号化したり、（ネットから遮断した）オフライン上にデータを保管したりしていれば被害を抑えられたのではないか」と話す。