トヨタ自動車、委託先子会社のクラウド環境誤設定で個人情報が公開状態

会社名 トヨタ自動車株式会社
株式情報 上場
漏洩種別 流出
漏洩対象 Web
漏洩場所 社外
漏洩内容 車載端末ID/車台番号/車両の位置情報/時刻

住所/氏名/電話番号/メールアドレス(2023年5月31日追加) 

漏洩件数 約2,150,000件
漏洩日時 2013/11/6~2023/4/17の間
発表日時 2023/5/1

トヨタ自動車にて委託先子会社のクラウド環境の誤設定により個人情報が公開状態となっていることが発覚。同社の子会社トヨタコネクティッド株式会社にて管理を委託しているデータの一部が、クラウド環境の設定ミスにより公開状態となっており、外部からアクセス可能であることが判明した。

外部から閲覧可能なデータは2012年1月2日~2023年4月17日の期間内に同社コネクテッドサービスのT-ConnectやG-Link、G-Link Lite、G-BOOKを契約した顧客の情報で、約10年にわたって外部からアクセス可能状態であった。

事態発覚後、同社は外部からのアクセスを遮断する措置を実施したが、同社が管理するクラウド環境を含め現在も調査を行っている。同社は情報流出の対象者に登録されているメールアドレス宛にお知らせとお詫びのメールを送信し、専用のコールセンターの設置を行った。なお、今回閲覧可能だった情報は外部からアクセスされてもデータにより顧客が特定されるものではなく、現時点では情報の二次利用や被害なども確認されていない。

同社子会社のデータが外部からアクセス可能だった件で、現時点では判明している内容について公開した。今回の件はデータ取扱いのルール説明や徹底が不十分だったことなどが原因であるとしてクラウド設定の監視システムを導入し、現在は全クラウド環境の設定調査や継続的に設定状況を監視する仕組みが稼働している。現在もネット上での二次利用や次被害も確認されていない。
今回の件で、継続的な調査の結果、あらたに海外販売店向けシステム調査のために同社がクラウド環境で管理しているファイルの一部が、外部からアクセス可能であることが判明した。アジアおよびオセアニアが対象地域で、2016年10月~2023年5月の間、問い合わせファイルに含まれた 住所、氏名、電話番号、メールアドレスなどが外部からアクセスが可能であることが判明し、各国の個人情報保護法及び関連法に従って対応を進めていくとしている。(2023年5月31日追加)

同社子会社のデータが外部からアクセス可能だった件で、同社は策定した再発防止策を確実に実施するよう個人情報保護委員会から指導を受けた。今回のクラウド誤設定は担当者の誤認識によりクラウドサーバーを公開に設定し、そのサーバに個人情報を格納したことにより発生した。これらは技術的安全管理措置、人的安全管理措置、同社の委託先管理の3つの問題により引き起こされたと結論付けられ、再発防止策として技術的安全管理措置の強化、人的安全管理措置の徹底、機動的な委託先管理のための見直しを行うとしている。(2023年07月12日追加)