#840 ダイソーで Google グループの閲覧権限設定不備、ECサイト利用者他の個人情報閲覧可能に

今回は、株式会社大創産業が発表した個人情報漏えいの可能性についてお話しします。このニュースは、同社が業務で利用していた「Google グループ」の閲覧権限設定に不備があったことから、顧客や取引先、中途採用応募者、従業員の個人情報が外部から閲覧可能になってしまったというものです。この放送を通じて、リスナーの皆さんは、サイバーセキュリティーの重要性や、個人情報を守るための対策について理解を深めることができるでしょう。

今回のインシデントは、株式会社大創産業が業務で使用していた「Google グループ」における閲覧権限の設定不備に起因しています。具体的には、4月26日に外部からの指摘により、顧客や取引先、中途採用応募者、従業員とのやりとりに関するメールが外部から閲覧可能な状態であったことが判明しました。調査の結果、57の「Google グループ」で本来は登録メンバーのみが閲覧できるはずの情報が公開設定になっていたことが明らかになりました。
この問題は、2019年12月9日から2025年4月26日までの間に発生しており、流出した可能性のある個人情報は、顧客の氏名や住所、電話番号、メールアドレスなど、合計で4,498件に及びます。また、取引先の情報も4,578件、中途採用応募者の情報が698件、従業員の情報が533件流出した可能性があります。
大創産業は、インシデント発覚直後に当該Googleグループのアクセス権限を非公開に設定し、現在は全グループで「公開」を選択できないように機能を制限しています。また、社員が新規グループを作成する際には申請承認手続きを経るフローを設けるなど、再発防止策を講じています。

このようなインシデントを防ぐためには、まずは適切な権限設定が重要です。組織内での情報の取り扱いに関して、誰がどの情報にアクセスできるのかを明確にし、必要な権限だけを付与することが基本です。また、定期的に権限の見直しを行い、不要なアクセス権を削除することも大切です。さらに、従業員に対するセキュリティー教育を実施し、情報漏えいのリスクについての意識を高めることも効果的です。加えて、外部からの指摘を受け入れる体制を整え、問題が発生した際には迅速に対応できるようにすることも重要です。

このインシデントから得られる教訓は、情報管理の重要性です。特に、個人情報を扱う企業にとっては、情報漏えいがもたらす影響は計り知れません。したがって、情報の取り扱いに関するポリシーを明確にし、従業員全員がそのポリシーを理解し遵守することが求められます。また、技術的な対策だけでなく、人的な要因も考慮に入れた包括的なセキュリティー対策が必要です。さらに、インシデントが発生した場合には、迅速に情報を公開し、透明性を持って対応することが信頼回復につながります。

インシデントが発生した場合、まずは状況を把握することが重要です。どの情報が漏えいしたのか、どのような経路で漏えいが発生したのかを迅速に調査し、影響を受けた関係者に対して適切な通知を行う必要があります。その後、漏えいの原因を特定し、再発防止策を講じることが求められます。また、必要に応じて法的な手続きを検討し、関係機関への報告も行うことが重要です。情報の透明性を保ちつつ、関係者への信頼を維持するための対応が求められます。

情報を公開する際には、まずは事実関係を正確に伝えることが重要です。漏えいした情報の種類や影響を受けた人数、発生した経緯などを明確にし、関係者に対して誠実に情報を提供することが信頼を築く鍵となります。また、今後の対策や再発防止策についても併せて説明し、関係者が安心できるような情報提供を心がけるべきです。さらに、情報公開のタイミングも重要で、早期に情報を開示することで、信頼回復につながる可能性が高まります。

このインシデントは、業界全体に対して個人情報の取り扱いに関する警鐘を鳴らすものとなります。特に、オンラインビジネスが増加する中で、個人情報の漏えいは企業の信頼性を大きく損なう要因となります。このような事例が報じられることで、他の企業も自社のセキュリティー対策を見直すきっかけとなるでしょう。また、消費者の側でも、個人情報の取り扱いに対する意識が高まり、企業選びに影響を与える可能性があります。結果として、業界全体でのセキュリティー意識の向上が期待されます。