事故から学ぶ

お客様情報の一部が閲覧可能な状態にあったことへのお知らせとお詫び ライフイズテック株式会社

事故概要

業種 民間企業
発生時期 2022/5/30
漏えい人数 120
事故概要

ライフイズテック株式会社が、本事業の主催者の名古屋市から受託した事業「中学生起業家育成事業」の申込情報(120件分)が他の申込者から一時的に閲覧できる状態だったことが判明しました。本件は原因を既に特定し、当該原因への対応、対象となる方へのお詫びとご報告は完了しております。なお、決済情報やパスワードなどの重要情報は本件においては含まれておりません。
事業運営者として、今回の事態を重く受け止め、再発防止策を徹底してまいります。お申込み頂いたお客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたことを深くお詫び申し上げます。
本件の経緯等について下記のとおりご報告いたします。
1.経緯
2022年5月30日より「中学生起業家育成事業」についての告知を開始いたしました。
参加を希望するお客様は当該事業の告知ページより、Googleformで作成した「中学生起業家育成事業」に関する応募フォームからお申込みを頂くこととなりました。
申込受付期間中の2022年6月7日、当該フォームより申込み頂いた方から弊社宛にご報告(1件)を頂き、申込情報の登録後にGoogleformページ内の特定のリンクをクリックすると、他の申込者の情報(※後述の3・4参照)を閲覧できることが判明しました。確認したところ、その時点までにお申し込みいただいた方々の登録情報が確認できる状態にありました。
確認後、即時フォームを一時的にアクセス停止とし、Googleformの設定を修正し、登録情報が第三者からは閲覧できないように対応いたしました。その後、同じ問題が起きないことを確認した上で、フォームを再度オープンいたしました。また、並行して原因の究明・発生の経緯・対象範囲を確認しております。なお、現時点では今回の事態による被害の報告はございません。
2.情報を閲覧できる可能性のあった方の数
2022年5月30日〜6月7日までの間に「中学生起業家育成事業のプログラム」に参加申込を行った最大120件
※Googleformにアクセス後、特定の操作をしない限り第三者に情報が表示されることはありません。しかしながら発生した問題の性質を鑑みますと、対象範囲の特定が難しいため、最大数となる120件で記載しています。
3.情報を閲覧される可能性のあった方の数
2022年5月30日〜6月7日までの間に「中学生起業家育成事業のプログラム」に参加申込を行った120件
4.閲覧された可能性のある個人情報
当該プログラムへの参加希望生徒の氏名、学校名、学年、性別、生年月日、電話番号、保護者の氏名、電話番号、郵便番号、住所
5.本件の原因について
Googleformの設定において、他の申込者の回答内容が閲覧できる設定にチェックを入れてしまっていたことが直接の原因であると判明しております。
フォームの項目内容については複数名で慎重に検討を行った一方で、公開作業は1名体制で実施し、設定内容の確認は複数名で行わなかったことが今回の事態につながった一因と考えています。
6.今後の対応について
第一に再発防止を徹底いたします。また、今回閲覧可能となっていた情報が悪用される等の事態が発生した場合には、各種法令に従い、関係者と連携し、適切な措置を講じてまいります。
7.再発防止策
同様の事案が起きることがないよう、確認体制・フローの見直しを行います。また、本件の原因と対策について社内で周知徹底を行うとともに、個人情報保護及び情報セキュリティ教育の内容やナレッジの共有方法を見直します。
この度はご迷惑とご心配をおかけして、大変申し訳ございません。関係者の皆様のご不安の解消と今後の再発防止に努めてまいります

引用元 ライフイズテック株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

テストは地味で、単調な作業です。しかし製作者、開発者のプロとしての宿命です。事業の機会損失を防ぐ大切な作業です。
最低限行うべきテスト項目を挙げてみました。
コンテンツ確認
・作成したページに誤字脱字がないか
・内容が間違っていないか
・個人情報や機密情報が表示されていないか
・画像は崩れなく正しい物が表示されているか
リンク
・リンク切れしていないか
・リンク先が正しい目的のページか
・リンク先に個人情報や機密情報が表示されていないか
・ファイルを開いたりダウンロードできるものは、不都合な情報がないかファイルの中まで確認したか
・EXCELファイルが開ける場合、目的外シートが含まれていないか確認したか?
デバイス
PC(Windows、Mac)、タブレット(Android、iOS)、スマートフォン(Android、iOS)でPCと同じ情報が表示されることを確認したか?
フォームの確認
・フォームを使用する場合、フォームに入力した内容が正しく送受信されるか確認したか?
・フォームは毎回リフレッシュがかかり、前の入力情報が表示されることはないか?
・日本語以外の言語や記号、数字といった想定外の入力をした場合の動作確認をしたか?・入力完了前にブラウザを閉じたらどうなるか確認したか?

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。