パーソルキャリア株式会社は2024年9月17日、同社が運営する転職サービス「doda」の販売代理店向けシステムに不備があり、採用担当者の個人情報が閲覧できる状態になっていたことを発表しました。この問題は、法人顧客からの指摘を受けて発覚し、同社は事態の収束と再発防止に向けた対応を進めています。
不正ログインの詳細
「doda」の求人広告を取り扱う販売代理店向けシステムにおいて、採用担当者の名刺情報に相当する個人情報が、代理店およびその委託先1,164社から閲覧できる状態になっていました。法人顧客の採用担当者が、取引のない代理店から営業を受けたことを不審に思い、その経緯を確認した結果、当該システムから情報が取得されていたことが判明しました。
原因は、システム開発時の仕様検討とプライバシー保護の確認・検証が不十分であったことにあります。結果として、同社の基幹データベースに登録されていた採用担当者の個人情報が当該システムに連携されてしまいました。
流出の可能性がある個人情報
閲覧可能だった情報は、採用担当者549,195名分の以下の内容です:
会社名、会社住所、部署、役職
氏名(カナを含む)、メールアドレス
なお、同社は販売代理店との間で秘密保持契約を締結しており、情報の目的外利用は禁止されています。
再発防止策
パーソルキャリアは、2024年8月30日に問題のあったシステムを改修し、個人情報が適切に管理されるよう修正を完了しました。また、今後の再発を防ぐため、システム開発時の仕様確認とプライバシーへの影響を事前に審査する「プライバシーレビュープロセス」を一層強化する方針を示しています。
まとめ
今回の事案は、システム開発時の確認不足が、重要な顧客情報の管理漏れという形で表面化した典型的なケースです。個人情報は企業の信頼を支える根幹であり、その取り扱いに一度でも問題が生じれば、顧客との信頼関係に深刻なダメージを与えかねません。情報漏えいを未然に防ぐためには、システム開発時における仕様の綿密な確認と、個人情報の取り扱いが適切かを評価する仕組みが不可欠です。企業は今後、個人情報が本当に必要な場面でのみ共有・連携されるようシステムを設計し、さらに第三者による検証や定期的な見直しを通じて管理体制を強化していく必要があります。個人情報管理の徹底は、顧客との信頼を守り、企業としての社会的責任を果たすたに必要不可欠です。
本記事は、以下の参考記事を基に作成されています。
詳細な情報は公式記事をご覧ください。
セキュリティ対策に不安がある方はお気軽にご相談ください。
御社に必要な対策を無料で提案させて頂きます。
ペネトレーションテストならシースリーレーヴ
ペネトレーションテストの会社をお探しの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。
弊社では、海外で活躍するホワイトハッカー集団「Nulit・ナルト」によるペネトレーションテストを60万円〜の低価格で提供可能です。
さらに毎月定期的に侵入テストを実施したり、ホワイトハッカーのロゴをサイトに掲載したりすることで、サイバー攻撃の予防を高めることができます。
また自社でのセキュリティ対策が難しい場合は、ホワイトハッカーおよびエンジニアが開発を行うことも可能です。
これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。
セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。
%20(2).png)
