エイチーム、クラウドサービスの設定ミスで個人情報がインターネット上で閲覧可能状態

会社名 株式会社エイチーム
株式情報 上場
漏洩種別 流出
漏洩対象 システム
漏洩場所 社外
漏洩内容 氏名/メールアドレス//住所/電話番号 (2023年12月21日追加)
漏洩件数 約96万件 935,779件(2023年12月21日追加)
漏洩日時 不明(~2023/11/21) 2017年3~2023/11/22
発表日時 2023/12/21

エイチームにて個人情報含むファイルがインターネット上で閲覧可能状態。同社グループが利用しているクラウドサービスのGoogleドライブにて、同社が管理する個人情報含むファイルが設定ミスによりインターネット上で閲覧可能状態となっていることが判明した。

グループ全体で導入を検討しているセキュリティ製品の精度検証を行った際に、リスクのあるファイルとしてレポートに検知されたことにより事態が発覚。原因はファイルの閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」を設定していたことによるもので、リンクを知っていればだれでも閲覧できる状態であった。事態判明後、当該ファイルへのアクセス制限を設定し、現在は個人情報の閲覧は不可能となっている。現時点では情報の不正利用などの被害は確認されていない。同社は個人情報保護委員会に報告を行った。

現時点で判明している個人情報の流出の可能性があるファイル数は約4,000件で、個人情報は約96万件であるが、重複した件数が含まれており、引き続き調査及び精査を行い、新たな事実が判明次第お知らせするとしている。なお、要配慮個人情報や財産的被害の発生の恐れのあるデータは含まれていない。

エイチームグループが利用しているGoogleドライブで個人情報が閲覧可能状態であった件について、調査及び精査が完了したとして調査結果と再発防止への取り組みについて報告を行った。個人情報を含むファイル数は1,369件で、流出したのは同社グループが運営するサービス・アプリの利用経験のある顧客や取引先企業、同社グループの採用選考応募者、インターンシップ参加者、同社グループ従業員 935,779人分であった。現時点では情報の不正利用などは確認されていない。今後はセキュリティツールによる監視強化、ファイル共有設定・権限の見直しによる制御、個人情報の取り扱いに関する役員及び全従業員の意識向上により再発防止に努めるとしている。(2023年12月21日追加)