クラウド漏洩、「凡ミス」多発 カオナビ子会社、誤設定で15万人分 安全管理の徹底が重要に(24年4月3日 日本経済新聞電子版)
記事
(1)人材管理システムのカオナビ子会社が運用するクラウドサービスで、個人データの漏洩が判明した。
運転免許証やマイナンバーカードの画像を含む15万人超の情報が流出。
個人情報の漏洩リスクが高まる中、誤った設定や操作など企業側の「凡ミス」も目立つ。
(2)カオナビは3月29日、子会社が運用するシステムのクラウドで管理していた氏名や性別、住所、電話番号のほか、マイナンバーカードや運転免許証など身分証明書の画像が外部から見られる状態だったと発表した。
15万4650人分の情報が第三者にダウンロードされていた。
同社によると、飲食店や小売店を中心とした2万6000店舗で労務管理などに用いられている。
(3)従業員自身が勤怠管理をするために入力した氏名などの情報やアップロードした身分証明書のデータはインターネット上の「ストレージサーバー」にファイルとして保存される。
サーバーには本来なら外部アクセスができないよう設定しなければならなかったが「誤設定により(第三者から)閲覧可能な状態となっていた」(カオナビ子会社)という。
(4)同22日の調査で発覚するまで、2020年1月から4年以上外部にさらされた状態だった。
すでにアクセス権限を修正し「二次被害が生じた事実は確認されていない」と説明しているが、情報漏洩の不正利用が判明するまでには時間がかかるケースもある。
(5)システムを使っていた店舗側も、従業員のみが使い顧客情報が対象でなかったことで、管理の目が甘くなっていた可能性もあったとみる。
(東京商工リサーチ)
23年の上場企業の個人情報漏洩や紛失事故は175件で、漏れた情報は22年比7倍の約4090万人分に上った。
最も多かったのがインターネットを通じた「ウイルス感染・不正アクセス」の93件で、「誤表示・誤送信」43件と続いた。
板倉弁護士は「過失による漏洩は典型的な事案。一定数発生するのは仕方ないとされるが、二重チェックや暗号化などの対策を講じていれば防ぐことができる。企業側の意識を変えれば、初歩的なミスを防ぎリスクを低くすることができる」と強調する。
国は個人情報保護法に基づきガイドラインを定める。個人情報保護委員会は、情報を取り扱う事業者側に個人データの扱いに関する管理ルールの明確化や研修の充実などソフト対策の徹底を促す。さらにパソコンの盗難防止策や、情報を扱う部屋への入退室をICカードで管理するといった物理的な措置を取ることも呼びかけている。