リクルートキャリアが約3万7000件の個人情報を誤送信:”他山の石”とすべきヒヤリハット事案
リクルートキャリアが、メール送信操作のケアレスミスによって、本来加工すべき個人情報を未加工のまま業務委託先企業に送信していたことが分かった。現在のところ外部への漏えいなどの二次被害は確認されておらず、送信されたデータは消去済みであるという。
リクルートキャリアが2015年12月1日、約3万7000件の個人情報を、メール送信操作のケアレスミスによって業務委託先企業に誤送信していたことが分かった。送信した情報は、同社が運営している転職サービス「CAREER CARVER」の登録者のプロフィール情報や職務経歴、学歴、資格、希望条件が記載されたExcelファイル。本来は個人を特定できない形に加工して送信すべきところを、未加工のまま送信してしまったという。
本件については、CAREER CARVERの運営事務局からExcelファイルに情報が含まれていた登録者宛に個別に送信されたメールを、編集部が確認している。
送信されたファイルに含まれていたのは、氏名、生年月日、性別、都道府県名、会員番号、直近の年収、直近の業種、直近の職種、直近の企業名、直近の部署名・役職、直近の在籍期間、過去の業種、過去の職種、過去の企業名、過去の部署名・役職、過去の在籍期間、学校種別、学校名、学部・学科、卒業年月、英語レベル、英語資格の点数、資格、希望の業種、希望の職種、希望の勤務地の各情報。
該当者に送信されたメールによると、2015年12月1日20時30分にリクルートキャリアが機密保持契約締結済みの業務委託先1社宛てにメールを送信。その際、本来は個人を特定できない形に加工したデータを送るべきところ、誤って加工前の上記情報が格納されたExcelファイルを添付して送信してしまったという。本件に関して編集部が事務局に問い合わせたところ、「ファイル容量が非常に大きかったため、送信直後に担当者が誤送信に気付いた」という。
同社は、直ちに業務委託先と連携し、メール受信者の個人端末と業務委託先のメールサーバー内のデータ消去作業を進めた。同社の経緯報告によれば、2015年12月2日10時45分には、リクルートキャリアの担当者が立ち会った上で、業務委託先メールサーバー上のデータ消去、業務委託先スタッフ個人端末内のデータ消去を確認したという。なお、編集部が確認した該当者への告知メール配信は、2015年12月3日付であった。
本件では、送付先が秘密保持契約締結済みの1社のみであり、今のところ、業務委託先企業を除く外部への情報漏えいなどの二次被害は確認されていない。しかし、本来個人が特定できない形に加工して送信すべき情報を未加工のまま送信してしまったことは、一歩間違えば大事故にもつながりかねない人的ミスだったといえる。
個人情報の管理においては、人的ミスが発生しないプロセスを整備することも重要だ。また、企業イメージの観点からは事後の迅速な対応と情報開示のための体制を整備することも重要となる。事後対応が迅速であるほど企業の信頼度が高まることは言うまでもない。
他の企業においても、本件を他山の石とし、運用プロセスの確認や万一の際の対応体制を常にシミュレーションしておきたいところだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 特集:セキュリティリポート裏話(1):読んでおきたいセキュリティリポート・調査結果まとめ
自社に今、そしてこれから必要なセキュリティ対策を検討する前に確認したいのが、「敵」の手口です。セキュリティ関連組織やベンダーでは、そうした時に役立つさまざまな観測結果やリポート、調査結果を公開しています。ぜひ一次ソースに当たってみてください。 - ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
2014年7月はベネッセコーポレーションで発生した、大量の個人情報漏えい問題がタイムラインを騒がせました。 - IT用語解説系マンガ:食べ超(73):ウオーターフォール式 情報漏えい
アンドゥできる派とできない派の争いの記録は、漏えいしたそうです。 - こうしてWebは改ざんされた(3):Web改ざんへの備えは「カイゼン」「5S」から
Web改ざんへの対策を講じようにも、どこから手をつけたらいいか見当がつかない――そんな悩みを抱える方に、一見アナログに見えて本質的な解決のヒントを紹介します。