注目点

大量のデータをクラウドサーバに保存。ひとりの作業者のミスで4年間も16万人以上の個人情報漏えい
・クラウドサーバの設定変更時にチェックなし、確認ルールナシ、単独作業。
・マイナンバー情報も含む要配慮個人情報を大量に預かるが、管理者不在、管理体制ナシ。
・サーバの設定動向をモニタリングする動向監視システムなし。従って4年間間違いに気づかず

経営者、管理者が知らないところで個人情報漏えい事故がおきます。
個人情報保護は、知らないことが罪になります。

今回のケースでも、まず経営者、管理者が幹部として個人情報保護の基本動作と自覚を学び、1年間365日休みなく、現場を指揮し直接状況確認すること。
幹部が1年間続けられないことは現場で実行できません。
―――――――――――――――――――

1. 本件の概要

お客様が保存するストレージサーバーのアクセス権限を誤り、保存ファイルが外部から閲覧可能になっていた。
・閲覧が可能であった期間　2020年1月5日から2024年3月22日
・閲覧された本人の数　162,830人
・ファイルのダウンロードが行われた本人の数　154,650人

―――――――――――――――――――

漏えいした個人データの項目：
・氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像

―――――――――――――――――――

原因
・単独作業者によるサーバーのアクセス権限設定の誤設定
・クラウドサーバの設定変更時にチェックなし、確認ルールナシ、単独作業。
・マイナンバー情報も含む要配慮個人情報を大量に預かるが、管理者不在、管理体制ナシ。
・サーバの設定動向をモニタリングする動向監視システムなし。従って4年間間違いに気づかず

―――――――――――――――――――

発見の経緯
2024年3月22日にセキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定を発見。
直ちに設定を修正し調査を続けたところ、是正前の上記期間にファイルがダウンロードされたことを確認

―――――――――――――――――――

二次被害の有無及びその内容
引き続き調査中。現時点は二次被害は未確認

―――――――――――――――――――

現在の状況
適切なアクセス権限設定修正し外部からの閲覧はできない状況
情報が漏えいした事業者に個別に連絡中

―――――――――――――――――――

再発防止策
・従業員教育を徹底
・継続的にサーバーの設定状況を監視する仕組みを構築