「マイナビ」で応募者の個人情報漏えい 別の企業の応募者データ取得できる状態、1年半にわたり

[ITmedia]

　マイナビは10月25日、就職情報サイト「マイナビ」の応募者管理システム「MIWS」で、企業が応募者データのCSVをダウンロードする際に、別の企業の応募者データが取得される問題が発生していたと発表した。

　「マイナビ2023」「マイナビ2024」「マイナビ2025」登録ユーザーの一部・計1662人の氏名やメールアドレスなどのデータが、本来取得できなかったはずの計15社に漏れていたという。

ニュースリリースより

　問題が起きていたのは、2022年2月17日から2023年9月13日の約1年半。漏えいしたデータは氏名、メールアドレス、住所、電話番号、所属学校などで、取得時に企業が指定したデータ形式によって項目が異なる。

　企業が応募者データをCSV形式でダウンロードする際、システムがテンポラリデータ（一時的保存ファイル）を作成した後、CSVファイルを生成する仕様になっていたが、処理中にミドルウェア障害などが発生し、他社のCSV出力処理の内容が混在してしまったという。

　特定1社で8月に起きたシステム障害に関連し、調査と対策を進める中で、10月11日に過去全件のダウンロードファイルのログを調査したところ、「ごく稀に」システム障害が発生していたことが分かったという。

　対象となった企業は特定済み。データの削除を依頼し、了承をもらっているという。不具合発生の原因となったシステムは改修も完了し、再発防止策を講じたとしている。