クラウドに保存した約93万件の個人情報がミスで公開閲覧可能。2022年にも同様のミス。

スマートフォン向けコンテンツの開発を手がけるエイチームで、クラウドに保存した約93万件の個人情報がインターネット経由でアクセスできる状態だったと発表した。同社グループは「Googleドライブ」を利用しているが、リンクを知る全員に閲覧権限を付与していたため、URLを特定できた場合に誰でもファイルを閲覧できる状態だった。
漏えいの発覚は、同社グループで導入検討中のセキュリティ製品検証レポートで判明したもの。事態を知り2022年12月7日に事態を公表した。2017年3月から2023年11月22日にかけて公開されていたもので、閲覧可能な個人情報はグループ全体で重複を除いても93万5779件。氏名や住所、電話番号、メールアドレス、顧客管理番号、端末識別番号などが含まれる。さらに取引先企業に関する情報6909件、採用候補者情報264件、従業員情報も記載されていた。不正利用の報告などは寄せられていない。

同社は、12月20日に個人情報保護委員会に確報を提出。連絡先が把握できた関係者に対してメールなどを通じて個別に連絡を取っている。
同社では、2022年5月にもクラウドサービス上に保存していた採用関連や従業員の個人情報において公開範囲の設定不備が判明している。今回同様、URLを指定することで誰でもファイルを閲覧できる状態だった。

今回の問題を受け、セキュリティツールによる監視の強化、ファイル共有設定や権限の見直し、役員や従業員における管理体制の強化をはかり、再発防止を図るとしているが、昨年のミスが発覚した段階で、今回の漏えいに気づいていないことになり、企業姿勢を問われる問題になっている。