エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に
エイチームが、12月7日に発表した個人情報漏えいの可能性について、詳細な調査の結果を公開した。オンラインストレージ「Googleドライブ」の情報公開設定にミスがあり、顧客や取引先、退職者など93万5779人の情報を含むファイル1369件が、リンクを知っていれば誰でも閲覧できる状態だったという。
エイチームは12月21日、7日に発表した個人情報漏えいの可能性について、詳細な調査の結果を公開した。オンラインストレージ「Googleドライブ」の情報公開設定にミスがあり、顧客や取引先、退職者など93万5779人の情報を含むファイル1369件が、リンクを知っていれば誰でも閲覧できる状態だったという。
閲覧可能だったのは、エイチームやそのグループ会社であるエイチームライフデザイン、エイチームエンターテインメント、エイチームウェルネス、エイチームコマーステックのサービスを利用した人、契約や取引があった法人顧客、メールでのやりとりがあった法人顧客、過去に採用選考に応募した採用候補者、インターンシップに参加した学生、退職者含む従業員の氏名、メールアドレス、電話番号など。内訳は下記画像の通り。
閲覧可能だった情報がある期間は2017年3月から2023年11月22日まで。設定は変更済みで、現在は問題が解消しているという。閲覧可能だった情報が悪用された事例も確認していないとしている。
問題が発覚したのは11月21日。導入を検討しているセキュリティ製品の検証レポートを確認したところ、今回の事態がリスクとして取り上げられていたことで明らかになったという。エイチームは問題を受け、翌日にGoogleドライブの設定を変更。12月20日に個人情報保護委員会へ詳細を報告した。
エイチームは今後、セキュリティツールによる監視の強化やファイルの共有設定の見直し、従業員や役員の教育を徹底することで再発防止を図るという。
エイチームは2022年にも、米Googleの個人向けクラウドサービス利用時の設定ミスにより、採用イベントに参加した学生などの個人情報が外部から閲覧可能だったことを発表している。当時は、個人向けアカウントで作成したファイルの業務利用を禁止し、同社が契約する法人向けサービス「Google WorkSpace」のアカウントで作成したファイルのみ業務で利用可能にすることで、再発を防止するとしていた。
関連記事
- 学生の顔写真や評価など、個人情報約5800人分漏えいの可能性でエイチームが謝罪 「リンクを知っている全員が閲覧可能」状態に
エイチームの新卒採用イベントに参加した人などの個人情報5857人分が、外部から閲覧可能になっていた。最長で6年以上前から閲覧が可能な状態だったという。原因は同社による、米Googleの個人向けクラウドサービスの設定ミス。 - 琉球大学、大学院の試験問題が学生から丸見えに Teamsでアクセス制限やパスワード設定せず
琉球大学が「Microsoft Teams」の設定不備により、個人情報や大学院入試資料などの一部が本来権限を持たない学生や職員でも閲覧できる状態だったと発表。一部ファイルでアクセス制限やパスワードの設定をしていなかったという。 - 名刺SNS「Eight」で情報機関員などの本名が閲覧できる状態に 非公開にする方法は
治安や防衛、情報収集活動に関わる人物の中でも、Sansanの名刺SNS「Eight」を利用している人の一部の所属と本名がGoogle検索で誰でも見られる状態だった。Eightの設定で外部に公開しないよう変更できるため、自分自身の情報を慎重に扱うべきユーザーはいま一度設定を見直すべきだろう。 - PPAPの代替、主流は? HENNGEが情シス300人にアンケート
いわゆる“PPAP”の代替として、利用が進んでいるサービスは──HENNGEが情報システム担当者300人に調査。最多の回答は? - 「ブラザーオンライン」に不正ログイン 最大12万件の個人情報・40万円相当のポイント流出した可能性
ブラザー製品のユーザー向け会員制サイト「ブラザーオンライン」に不正ログイン被害。ユーザーのポイントが不正利用された可能性。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.