なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報漏洩

welcomeHRトップ画面

1.WelcomeHRの個人情報漏洩事故が発覚

カオナビ子会社のワークスタイルテック(東京都港区)が運営する労務管理クラウドサービス「WelcomeHR」で、ユーザー情報16万人分近くが外部から閲覧可能になっており、うち15万人分近くが実際に第三者にダウンロードされたとワークスタイルテック社が3月29日にニュースリリースを公表しました。
・弊社サービスをご利用いただいているお客様への重要なご報告とお詫び|Workstyle Tech

プレスリリース
(ワークスタイルテックのプレスリリースより)

ワークスタイルテックのリリースによると、2020年1月5日から2024年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だったとのことです。原因は、ストレージサーバのアクセス権限に設定ミスがあったことであり、外部からファイルを閲覧したり、ダウンロード可能な状態だったということです。

このニュースリリースに対しては、個人情報保護委員会に報告は行われているのか、マイナンバーカードの表面の画像の情報が漏洩したことは間違いないとして裏面のマイナンバーなどの情報も漏洩したのか?の2点がネット上で話題となっていました。

2.マイナンバーも漏洩していたことが発覚

その後、4月13日頃より、Twitter(現X)などSNSにおいて、ワークスタイルテックより今回の個人情報漏洩事故の被害者の方々に対して、お詫びのメールにて漏洩事故の詳細が送られてきたことが報告されています。このお詫びのメールによると、マイナンバーそのものも漏洩していたことが明らかにされています。

被害者のツイート
通知1
通知2
(被害者の方のTwitterの投稿より)

3.ワークスタイルテックの個人情報漏洩事故の対応の問題点

このワークスタイルテックの個人情報漏洩事故の対応については、いくつも疑問があります。

まず第一に、今回の事故の原因から、マイナンバーの漏洩も当初から明らかであり、ワークスタイルテックは3月29日のプレスリリースの段階で、マイナンバーも漏洩していたことをぼかさずに明らかにすべきだったのではないでしょうか。

個情委の個人情報保護法ガイドライン3-5-2は、「なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。」としているからです。

第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。

つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。

にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。

そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。

第三に、本事件ではマイナンバーを含む約15万件の個人情報が漏洩してしまったわけであり、ワークスタイルテックは被害者の方々に対してお詫び金(例えば500円程度)を支払うべきであるのに、それがお詫びメールに記載されていないのは奇異な感じがします。(なお、お詫び金はお詫びの意思を表明するものであり、損害賠償の金銭とは別物です。)

このように、ワークスタイルテックの個人情報漏洩事故の対応は非常に稚拙であると思われます。社内にしっかりとした情報システム部門や法務・コンプラ部門がないのだろうかと心配になります。

■追記:4月15日 マイナンバーカードの利用停止・再発行について

個人情報保護委員会に電話で確認したところ、「本件のようにマイナンバーの悪用のおそれがある場合には、被害者の方は、市役所等の自治体にマイナンバーカードの利用停止と再発行の申出を行ってほしい、それにより再発行されるマイナンバーは新しい番号に切り替わるとのことでした。なお、自治体によってはデジタル庁のマイナンバー総合フリーダイヤルへの申出を行うようお願いされるかもしれないが、まずは自治体に問い合わせてほしい」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

money_hokensyouken
1.東京海上の代理店システムの個人情報漏洩事故が発覚
日経新聞の10月28日の報道によると、東京海上日動火災保険の保険代理店で顧客情報の漏洩が起きていたことがわかったとのことです。代理店同士をつなぐシステムで東京海上社員による設定ミスがあり、一部の代理店が本来アクセスする権限のない他の生損保の契約情報を閲覧できる状態になっていた、不正アクセスは過去5年で2000〜3000件とみられ、調査を進めているとのことです。一時最大で約10万件以上の顧客情報をアクセス権を持たない代理店が閲覧できる状態になっていた可能性があるということです。

東京海上の10月30日付のプレスリリースによると、同社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けており、一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしているところ、今般の事案は、同社のミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が統括代理店のお客様情報に不適切にアクセスできる状態となっていたことが判明したものとのことです。

そして漏洩した可能性のある情報については、「お名前、ご住所、お電話・FAX番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など」となっています。

・保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び|東京海上日動

2.保険業法・個人情報保護法
保険会社は保険業法により、その業務に関して取得した顧客に関する情報の適正な取扱いを確保するための体制整備が義務付けられています(保険業法100条の2、294条の3)。そして安全管理措置などについて必要かつ適切な措置を講じるための体制整備が義務付けられています(保険業法施行規則53条の8・227条の9)。

その上で、それらに違反した場合、保険会社は保険業法上の不祥事件(保険業法307条1項3号、保険業法施行規則85条5項3号)として内閣総理大臣(の委託を受けた金融庁長官)への不祥事件届出を行わなければならないとともに、金融庁の業務改善命令等の行政処分を受ける可能性があります(保険業法132条)。(経済法令研究会『保険コンプライアンスの実務』66頁。)

3.まとめ
今回の東京海上の代理店システムの設定ミスは安全管理措置の義務違反であると思われ、同社はすでに金融庁に不祥事件届出を行ったようであり、それを受けて金融庁から業務改善命令などの行政処分が出される可能性があります。

■参考文献
・経済法令研究会『保険コンプライアンスの実務』66頁
・錦野裕宗・稲田行祐『三訂版 保険業法の読み方』269頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

オープンワークトップページ

■追記(2023年6月20日)
OpenWork(オープンワーク)社は6月16日付で本件が個人情報漏洩事故であるとして、システム対応、被害者への連絡、個人情報保護委員会への報告などを行う旨のプレスリリースを公表しています。
・「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告

1.はじめに
Twitter上で、「なんかopenworkで他人のリアルタイム応募状況が見れるようになっててバリおもろいwwwww」というつぎのような興味深いツイートを見かけました。

オープンワークツイート
(Twitterより)

2.職業安定法・個人情報保護法
これは、氏名は分からなくても年齢や年収等の情報や応募履歴等から特定の個人を識別できるのだから個人情報であり(個情法2条1項1号)、その情報が誰でも閲覧できる状態(全世界への第三者提供つまり個人情報漏洩)になっているのは安全管理措置違反(個情法27条1項、23条)で職業安定法5条の5違反なのではと気になります。

職業安定法は個人情報保護を強化する等の方向で2022年に法改正が行われたばかりの法律であり、同法5条の5は、職業紹介事業者(人材会社など)や求人者(求人企業)などは求職者などの個人情報保護をしっかりしなくてはならないと規定しています。

職業安定法
(求職者等の個人情報の取扱い)
第5条の5 公共職業安定所、特定地方公共団体、職業紹介事業者及び求人者、労働者の募集を行う者及び募集受託者、特定募集情報等提供事業者並びに労働者供給事業者及び労働者供給を受けようとする者(次項において「公共職業安定所等」という。)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(以下この条において「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りでない。
 公共職業安定所等は、求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。

3.プライバシーポリシー・利用規約など
ここでこのOpenWork(オープンワーク)社サイトを見てみました。

オープンワーク01
(OpenWork社のプライバシーポリシー、同社サイトより)

オープンワーク02
(OpenWork社の安全管理措置方針、同社サイトより)

立派なプライバシーポリシーや安全管理措置方針などが策定・公表されていますが、実際の運用がこれでは絵に描いた餅ではないでしょうか。プライバシーポリシーの部分においても、利用目的において「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、やはりこれは本人の同意のない第三者提供(個人情報漏洩)であって問題であるように思えます(個情法27条1項、23条)。

さらにOpenWork社サイトの利用規約をみると、ここでも「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、ユーザー本人の同意は得られていません。

また同利用規約9条(免責)2項(b)(d)などをみると、「当社サービスでユーザーが入力した情報で本人が特定された場合」・「当社の故意・過失によらずユーザー本人以外が本人を識別できる情報を入手した場合」も「当社は一切の責任を負いません」と規定しているのはちょっと酷いのではないかと思いました。

オープンワーク03
(OpenWork社の利用規約、同社サイトより)

これは職業安定法5条の5や個人情報保護法の面からOpenWork社に責任があった場合にもかかわらず同社に責任はないとしている点で悪質に思えます。民法548条の2第2項は利用規約などの定型約款における不当条項は無効とする規定をおいていますが、同法同条との関係で問題があるように思えます。

4.まとめ
このようにOpenWork社はプライバシーポリシーや安全管理措置方針などは一見しっかりしたものを制定・公表していますが、実際の業務運用においては職業安定法や個人情報保護法をよく理解していないのではないかと心配です。2019年には就活生の内定辞退予測データに関するリクナビ事件が発覚し大きな社会問題となり、リクルートキャリアやその取引先のトヨタなどの求人企業は厚労省および個人情報保護委員会から行政指導を受けたばかりなのですが・・・。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ