事故から学ぶ

イベント応募者の情報管理に関するお詫びとご報告

事故概要

業種 民間企業
発生時期 2022/4/28
漏えい人数 36
事故概要

このたび、5月15日(日)開催予定の金沢戦でのサッカーチームイベント「ベガルタ レディースフェスタ」におきまして、ピッチ体験イベント「選手お出迎え&ウォーミングアップ見学」の専用応募フォームからお申込みいただいた方の個人情報が、お申込みした方に限り互いに閲覧できるという事象が発生いたしました(以下、本事象)。対象の人数は最大36名となります。
本事象確認後、フォームを修正し、現時点で応募者の個人情報は適切に管理しております。
このような事象が発生してしまったことについて深くお詫び申し上げます。また、このような事象が発生しないよう今後の再発防止に努めてまいります。
1.閲覧可能であった個人情報
・氏名
・同伴者氏名
・電話番号
・メールアドレス
・これまでの観戦回数
・観戦チケットの購入タイミング
2.閲覧可能であった期間
・2022年4月28日(木)15時40分から同日22時59分まで
対象となったみなさまには個別にメールにてご連絡を差し上げております。このたびはご迷惑をおかけしましたこと深くお詫び申し上げます。

引用元 ベガルタ仙台

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

作業ファイルを社内共有するシステムとWeb等に外部公開するシステムがあると発生させてしまう事故である。
・設定を誤り社内ファイルを外部公開して個人情報を漏えいさせた。
・社内限りファイル名と公開ファイル名が似ており、誤って社内限りファイルを外部公開し個人情報を漏えいさせた。
・公開期日前に社外公開ファイルをアップロードしてしまった。(混乱を招いた)
考えるだけだとありがちなミスだととらえらるが、ありがちな事故をいかに防ぐかが個人情報保護に求められる漏えい防止策である。今後は注意します、というはなしではない。
ウェブサイトを構築した際、あらかじめ想定していた機能が動くかどうかテストを行うことは一般的であるが、このような予期しない不具合の有無を確かめるため、脆弱性の検査、あえてユースケースとは異なる使い方がされた場合を想定するミスユースケーステストなどを行い、品質を確認する必要がある。
さらに、もともと閲覧権限が与えられている社内にあるPCで確認を続けている限り、システム異常は見つけにくい。システムテストの工夫が必要である。。

具体例:

誰かに二重チェックを受ける、というのも有効な対策であるが、多忙な中で人の手を借りるのは気が引ける。それゆえセルフチェックが重要になる。セルフチェックとは自分自身のコミットである。自分のやった作業に対し自分がコミットする、という自覚をもってセルフチェックを実施していただきたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。