HOME > NEWS & TOPICS > IT関連事故に関するお詫びとご報告

IT関連事故に関するお詫びとご報告

平成27年5月1日
       株式会社 電 翔
    代表取締役 出雲 久雄
個人情報保護管理者 花村 光彦

この度、弊社より大学・短期大学向けにご提供しておりますソリューションにおきまして、個人情報を含む情報が、クラウドソリューションユーザ内に限定されて閲覧可能となる事故が2件発生いたしました。お客様およびご関係の皆様には、多大なるご迷惑とご心配をおかけしましたことを深くお詫びを申し上げますとともに、今後このような事態が発生しないよう個人情報の適切な管理、取扱いを徹底し、再発防止に努めてまいります。
なお、本件に関するシステム上の対応はすべて完了しております。
本件に関する経緯および対応につきまして、以下の通りご報告申し上げます。


Ⅰ.ユーザが特定の操作を行った場合に個人情報が閲覧可能となる件

1. 事象

  クラウドソリューションにおいて、基幹システムにアクセス可能なユーザが特定の操作を行うことにより、通常は閲覧できないフォルダの内容、
  さらには学生個人情報が閲覧可能となることが判明しました。

2. 閲覧可能となった個人情報

  情報: 大学様向けのデータベーステーブルの学生情報
  内容: 学籍番号、氏名、生年月日、性別、住所、電話番号、メールアドレス他
  状況: 現時点で当該の個人情報が不正利用された事実は確認されておりません。

3. 経緯

 □平成27年2月6日(金)~2月9日(月)
  ・本システム利用者である大学職員様より、特定の操作を行うことでサーバ上にある作業用フォルダが閲覧可能となると指摘連絡を受けました。
  ・さらに前出の大学職員様より、別の特定操作を行うことで、学生個人情報を含むテーブルの内容が閲覧できる恐れがあると指摘連絡を受けました。
  ・フォルダへのアクセス権限設定を修正し、ユーザから閲覧不可となるよう対応しました。
  ・調査を行ったところ、指摘通りの事象が確認できたため、アクセス不可となるよう修正対応を行いました。

4. 原因

  ・共有フォルダへの適切なアクセス権限設定が行われておりませんでした。
  ・作業者以外の人間による設定内容のチェックが行われておりませんでした。
  ・クラウドソリューションをご提供する際の設定に不備があり、未検証の動作がありました。

5. 再発防止策

  ・当該システムのセキュリティ問題に関する対策チームを設置し、継続的な検証作業を開始しました。
  ・第三者機関にコンサルティングを仰ぎ、類似の課題がないか検査を受けるとともに、指摘事項に対する対策を実施しました。
  ・システム導入作業後のチェック項目、手順の見直しと強化(作業者以外の人間による目視確認および自動チェックの併用等)を行いました。
  ・全従業員に対し、全ての個人情報の取扱いに細心の注意を払うよう、社内教育を通して再度周知徹底を実施します。


Ⅱ.作業ミスにより学生情報が閲覧可能となった件

1. 事象

  クラウドソリューションユーザの特定の1校において、就職支援システムへの弊社社員による権限変更作業に誤りがあり、本来教職員のみ
  利用可能とすべき学生個人情報検索機能が、約6時間にわたり学生からも利用可能な状態となっておりました。

2. 閲覧可能となった個人情報

  情報: 就職支援システムに登録された学生情報
  内容: 学籍番号、氏名、現住所および電話番号、帰省先住所および電話番号、メールアドレス、出身高校、他
  状況: 現時点で当該の個人情報が不正利用された事実は確認されておりません。

3. 経緯

 □平成27年4月14日(火)
  (10:00)
   弊社社員が「応募状況検索」機能の権限変更作業を実施した際、学生情報の閲覧権限を誤って設定してしまいました。
  (16:00)
   大学職員様より、「応募状況検索」機能を学生が利用可能な状態になっているとの連絡を受け、直ちに当該機能の稼働を停止しました。
  (17:00)
   弊社社員により、閲覧権限の設定変更を行い、正しく教職員のみ利用可能かつ学生の利用は不可としたことを確認しました。

  ※10:00~16:00の間に、学生より当該機能へアクセスした記録があることを確認しており、閲覧したデータの内容に
   個人情報が含まれている可能性があります。

4. 原因

  ・作業者の人為ミス。
  ・人為ミスを想定したシステム上の安全管理措置がなされておりませんでした。
  ・管理者への確認無しに、担当SEの判断でリリースを行っておりました。

5. 再発防止策

  ・学生側にメニューが公開された場合であっても、他の学生の個人情報が表示されないよう機能修正を実施します。
  ・個人情報を参照する機能においては「ユーザ名」「操作機能」に加え、「閲覧内容」をアクセスログとして記録するよう修正を実施します。
  ・担当SEは管理者へのタスク報告を必ず行い、問題点と危険性を確認した上で作業を行うよう、作業プロセスを見直しました。


<個人情報保護管理担当より>

  当該の個人情報につきまして、現時点で対応措置を完了しており、現在まで問題が生じていないことを確認しております。
  今回の事態を厳粛に受け止め、システム面はもとより社員一人ひとりに対しても個人情報の適切な取扱いを再度徹底し、
  再発防止と信頼回復に努めてまいります。

  本件に関するお問い合わせ先

   株式会社 電翔
   個人情報保護担当(小高)
   電 話 : 054-255-8994    E-Mail : privacy@densho-gp.co.jp