JTB、情報漏えいで最大で1万1483人に影響 原因は設定ミスか

JTBは、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の業務で情報漏えいが発覚したと報告した。漏えいした情報の中には最大1万1483人分の個人情報が含まれる。

[田渕聖人，ITmedia]

　JTBは2022年10月25日、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の業務において、最大1万1483人分の個人情報を含む1698件の申請書および補助金交付申請書などが漏えいしたと発表した。個人情報には組織名や部署名、役職名、氏名、業務連絡先用電話番号、電子メールアドレスなどが含まれる。

　「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」は、観光庁の令和3年度経済対策関係予算事業で、JTBが補助事業者として参加している他、複数の間接補助事業者も参画している。

JTBは自社のWebサイトで「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の業務での情報漏えいについて報告した（出典：JTBのWebサイト）

情報漏えいの原因と経緯は

　報告書によれば、JTBは観光庁や本事業への応募、申請などを行う事業者（間接補助事業者）との情報共有を目的として、関係者間にログイン権限を限定したクラウドサービスを管理、運用していた。

　しかし、同クラウドサービスの運用時、格納したデータに個別アクセス権限を誤設定したことで、ログイン権限を持つ間接補助事業者同士が格納した情報を相互に閲覧可能な状態になっていたことが発覚した。閲覧可能な情報のうち、間接補助事業者がダウンロードしたデータは、最大1万1483人分の個人情報を含む1698件の申請書および補助金交付申請書と判明している。

　JTBは、上記の情報をダウンロードした間接補助事業者に情報の削除を依頼し、2022年10月25日に全ての事業者から削除完了の通知がきたと報告している。なお、同社によれば、ログイン権限を持つ間接補助事業者以外に、個人情報が漏えいした可能性はないという。

　JTBによれば、該当のクラウドサービスでは厳重に総点検を実施し、適切なアクセス権限設定への修正が完了しているという。同社今後、再発防止に向けてアクセス権限設定のチェック体制と事業管理体制の徹底強化を図るとしている。観光庁は今回の件について「今後、このような事態が生じないよう、個人情報などの厳正かつ適正な管理について、補助事業者への指導を徹底してまいります」とコメントした。