JTB、情報漏えいで最大で1万1483人に影響 原因は設定ミスか
JTBは、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の業務で情報漏えいが発覚したと報告した。漏えいした情報の中には最大1万1483人分の個人情報が含まれる。
JTBは2022年10月25日、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の業務において、最大1万1483人分の個人情報を含む1698件の申請書および補助金交付申請書などが漏えいしたと発表した。個人情報には組織名や部署名、役職名、氏名、業務連絡先用電話番号、電子メールアドレスなどが含まれる。
「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」は、観光庁の令和3年度経済対策関係予算事業で、JTBが補助事業者として参加している他、複数の間接補助事業者も参画している。
情報漏えいの原因と経緯は
報告書によれば、JTBは観光庁や本事業への応募、申請などを行う事業者(間接補助事業者)との情報共有を目的として、関係者間にログイン権限を限定したクラウドサービスを管理、運用していた。
しかし、同クラウドサービスの運用時、格納したデータに個別アクセス権限を誤設定したことで、ログイン権限を持つ間接補助事業者同士が格納した情報を相互に閲覧可能な状態になっていたことが発覚した。閲覧可能な情報のうち、間接補助事業者がダウンロードしたデータは、最大1万1483人分の個人情報を含む1698件の申請書および補助金交付申請書と判明している。
JTBは、上記の情報をダウンロードした間接補助事業者に情報の削除を依頼し、2022年10月25日に全ての事業者から削除完了の通知がきたと報告している。なお、同社によれば、ログイン権限を持つ間接補助事業者以外に、個人情報が漏えいした可能性はないという。
JTBによれば、該当のクラウドサービスでは厳重に総点検を実施し、適切なアクセス権限設定への修正が完了しているという。同社今後、再発防止に向けてアクセス権限設定のチェック体制と事業管理体制の徹底強化を図るとしている。観光庁は今回の件について「今後、このような事態が生じないよう、個人情報などの厳正かつ適正な管理について、補助事業者への指導を徹底してまいります」とコメントした。
関連記事
- 気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。 - システムの可用性を確保できる組織は何が違うのか?
サイバー攻撃に適切に対処するためにはどのような組織作りが求められるのだろうか。ITmedia Security Week 2022 秋で近畿大学情報学部准教授の柏崎礼生氏が登壇し、同氏なりの組織と個人の在り方を語った。 - Firefox、Firefox ESRに「重要」の脆弱性 迅速なアップデートを
MozillaはFirefoxとFirefox ESRに複数の脆弱性が存在すると報告した。これらを使用している場合はバージョンを確認し、迅速にアップデートを適用してほしい。 - MandiantがGoogleの買収に合意した理由
Mandiantは「mWISE Conference」を開催した。サイバーセキュリティに関する組織やユーザーが広く参加するカンファレンスだ。同カンファレンスの基調講演ではMandiantのCEOであるケビン・マンディア氏がGoogleの買収に合意した理由を明らかにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.