12 情報セキュリティ, 個人情報保護法

はじめに

リスクモンスター株式会社は２０２２年７月１日、同社のシステムであるサイバックスUniv.システム連携用サーバーのページ情報の一部がGoogle等の検索エンジンに表示されてしまい、一般の外部ユーザーからアクセス可能な状態であったという事案が発生したことを公表し、謝罪しました。なお、同社はこの事案を個人情報の流出に該当するものとしています。そこで今回は、リスクモンスターが公表した文書から、事案の概要や発生理由、その後の対応について見ていくことにしましょう。

サイバックスUniv.の概要

リスクモンスターは２０００年９月に設立されており、同年にインターネットを活用した与信管理業務のアウトソーシングサービス、ASPクラウドサービス事業を始めています。そこから、法人会員向けビジネスを要として、定額制の社員研修サービス「サイバックスUniv.」などの教育関連事業、グループウェアサービスなどのビジネスポータルサイト事業、BPOサービス事業などを展開してきました。リスクモンスターのシステム「サイバックスUniv.」は、月額６万円（税抜）から利用できる、研修ポータル・eラーニング・Webセミナーの会費制研修サービスです。会員企業の利用者には、約３，５００コースの豊富なラインアップの研修が用意されており、企業の目的にあったプログラムを好きなときに受講することができます。また、階層別研修のみならず、営業・人事など職種別即戦力プログラムも充実しており、これまでにのべ９００万回の受講実績があるサービスです。

事案の概要

同社のサイバックスUniv.システム連携用サーバーのページ情報の一部が検索エンジンに表示された本事案では、システム連携用サーバー登録者約２５万人の会社名、部署名、氏名が流出した可能性があるとされています。なお、住所や生年月日、電話番号等の情報は、本件サーバーには登録されておらず、流出の可能性はないとのことです。流出した情報は本件サーバーの環境変更日である２０２０年２月１６日から２０２２年６月２９日までの２年以上であり、同社は個人情報流出に該当するものと見做しています。

判明の経緯と対応状況

同社によると、本件は、６月２９日１５時頃、サービス利用者から、「Google検索により自分の名前を含めた個人情報が閲覧できる状態になっている」とHP経由で問合せがあったことから発覚したとのことです。一報を受け同社では、開発ソリューション部で同様の作業を行ったところ、Google検索結果に会社名、部署名、氏名に関する個人情報が表示されたため、個人情報流出事案として判断致し、公表することになったとのことです。事案発覚後、直ちに同社の開発ソリューション部でネットワーク設定変更を行い、６月２９日午後以降、社外からアクセスできないことが確認されました。

個人情報を含む「Google 検索」の検索結果

Googleでは、Google検索結果に個人情報が表示される場合に、ユーザーが削除依頼を提出できるようになっています。一方で、全ての個人情報の削除依頼ができるわけではなく、特定の個人情報の類型に限定しているのが現状です。２０２２年７月１１日現在で、削除対象として定められているのは以下の個人情報です。

・住所、電話番号、メールアドレスなどの連絡先情報
・政府機関発行の ID 番号
・銀行口座番号またはクレジットカード番号
・手書きの署名と身分証明書の画像
・制限のある個人的な医療記録
・機密性の高いログイン認証情報

本事案で流出した可能性があるとされている、［会社名、部署名、氏名］については、選択肢として提示されておりません。その意味で、今回、自身の個人情報が表示されたユーザーは、リスクモンスター社に対応を委ねるしか他ない状況にありました。

本事案では、約２５万人の登録者に関する個人情報が表示された可能性がありますが、実際に、Googleの検索結果に表示され、アクセスされてしまうというケースはあまり多くありません。ただ、直近３ヶ月でのGoogle 経由での本件サーバーへのアクセスは１８件であり、その他１件のユーザー情報ダウンロード履歴（個人情報５，９３４件分）が確認されました。その後同社では、ダウンロードの実施者に速やかに全データ削除をするようお願いをし、削除対応済みとのことです。同社では本件事案発生の原因を調査中ですが、調査完了次第、速やかに再発防止策を講じる旨表明しています。

メルマガ会員登録