個人情報25万件がGoogle検索で丸見え、2年以上そのままに 企業向け研修サービスでトラブル、原因は調査中

[ITmedia]

　クラウドサービスの開発・提供を手掛けるリスクモンスターは7月4日、同社の企業向け研修サービス「サイバックスUniv.」について、サーバに保存していた約25万人分の個人情報が、Googleで検索できる状態になっていたと発表した。すでに設定は変更済みで、問題は修正済み。原因は調査中という。

　対象の情報は、サービスに登録していた人の会社名、部署名、氏名。2020年2月16日から22年6月29日まで、Google検索からこれらの情報にアクセスできる状態だったという。

閲覧可能だった情報の一覧

　一部の情報は実際に流出したことを確認した。少なくとも直近3カ月間で18件、Google経由でのアクセスがあり、うち1件では5934件の個人情報をダウンロードされていた。ただし、個人情報をダウンロードした人はすでにデータを削除済みという。

　リスクモンスターが事態に気付いたのは6月29日午後3時ごろ。サービス利用者から、Google検索で自分の個人情報が閲覧できる状態であると指摘があったという。そこで詳細を調査したところ、事実と判明。同日午後4時59分までに問題を修正した。同社は原因の調査が済み次第、再発防止策を検討するとしている。

サイバックスUniv.の公式サイト

　サイバックスUniv.は約3500件のeラーニングや、受講情報の管理機能などを提供するサービス。リスクモンスターによれば、7月4日時点で3000社以上が利用しているという。