お役立ちコラム
労務管理クラウドでアクセス権の設定ミス -4年以上 個人情報流出
注目点
大量のデータをクラウドサーバに保存。ひとりの作業者のミスで4年間も16万人以上の個人情報漏えい
・クラウドサーバの設定変更時にチェックなし、確認ルールナシ、単独作業。
・マイナンバー情報も含む要配慮個人情報を大量に預かるが、管理者不在、管理体制ナシ。
・サーバの設定動向をモニタリングする動向監視システムなし。従って4年間間違いに気づかず
経営者、管理者が知らないところで個人情報漏えい事故がおきます。
個人情報保護は、知らないことが罪になります。
今回のケースでも、まず経営者、管理者が幹部として個人情報保護の基本動作と自覚を学び、1年間365日休みなく、現場を指揮し直接状況確認すること。
幹部が1年間続けられないことは現場で実行できません。
―――――――――――――――――――
1. 本件の概要
お客様が保存するストレージサーバーのアクセス権限を誤り、保存ファイルが外部から閲覧可能になっていた。
・閲覧が可能であった期間 2020年1月5日から2024年3月22日
・閲覧された本人の数 162,830人
・ファイルのダウンロードが行われた本人の数 154,650人
―――――――――――――――――――
漏えいした個人データの項目:
・氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
―――――――――――――――――――
原因
・単独作業者によるサーバーのアクセス権限設定の誤設定
・クラウドサーバの設定変更時にチェックなし、確認ルールナシ、単独作業。
・マイナンバー情報も含む要配慮個人情報を大量に預かるが、管理者不在、管理体制ナシ。
・サーバの設定動向をモニタリングする動向監視システムなし。従って4年間間違いに気づかず
―――――――――――――――――――
発見の経緯
2024年3月22日にセキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定を発見。
直ちに設定を修正し調査を続けたところ、是正前の上記期間にファイルがダウンロードされたことを確認
―――――――――――――――――――
二次被害の有無及びその内容
引き続き調査中。現時点は二次被害は未確認
―――――――――――――――――――
現在の状況
適切なアクセス権限設定修正し外部からの閲覧はできない状況
情報が漏えいした事業者に個別に連絡中
―――――――――――――――――――
再発防止策
・従業員教育を徹底
・継続的にサーバーの設定状況を監視する仕組みを構築