日付 |
タイトル・内容 |
26日 |
|
26日 |
|
25日 |
|
25日 |
|
24日 |
|
23日 |
|
22日 |
|
19日 |
|
18日 |
|
17日 |
|
12日 |
|
10日 |
|
08日 |
|
|
|
【状況】
社内資料の一部取引情報と「Re:animation11」のクラウドファンディング参加者(401名)の個人情報にアクセス可能なURLが、2018年10月1日にインターネット上の匿名サイトおよび匿名アップローダーサイトに投稿され情報流出
1)流出情報
業務システムの取引情報と「Re:animation11」クラウドファンディング支援者リストの印刷用PDFファイル(情報内容は購入商品、氏名、住所、電話番号)
クレジットカード番号その他の決済情報、ログインIDおよびパスワード情報は不含
2)流出した経路
業務システムのアクセス制限が公開状態で保管されていた「Re:animation11」の作業用共有フォルダ内に書き込みされた当該情報を、何者かが匿名サイトに転載した
3)原因
フォルダにはアクセス制限をかけて作業することを社内ルールとしていたが、今回はイベント当日に使用する目的で作成し、担当スタッフが一時的にローカル環境からストレージサービスを経由してアップロードし、その後削除せず放置
引き続き、第三者が同業務システムの公開状態を知り得た状況や経路などについて更に調査を進める
【対応】
・公開状態になっていた「Re:animation11」の作業用共有フォルダを本件の確認後、直ちにアクセス不可に設定し、権限なく外部から閲覧できない状態に変更
・行政機関への届け出
個人情報保護委員会事務局に口頭で発生状況、発生原因、二次被害、公表状況、現在の対応状況について報告を行い、書面での届け出内容に関する確認を実施
【再発防止策】
・再発防止のため、アクセス権限の詳細な調査を実施
・業務マニュアルおよび社内ルールについて以下の4項目に沿って具体策を講じ、改善を行う
1)社内および社外協力スタッフ全員に対して、個人情報を含むデータを作業用共有フォルダにアップロードすることを厳禁、その他の個人情報の取り扱いルールを厳守することを、改めて周知徹底
2)社用のPCおよびストレージの権限設定ルールおよび運用ルールの見直し
3)社外協力スタッフが業務運営上必要な個人情報を取り扱う際の業務ルール(約款など)の見直し
4)システム管理者の設定およびアクセス権の明示、記録保持に関するルールの見直し
|
|
|
|
|
|
05日 |
|
03日 |
|