大東建託株式会社、大東建託リーシング株式会社、大東建託パートナーズ株式会社は7月31日、同社グループが保有する顧客情報の一部がインターネット上で一定期間閲覧可能な状況にあったことが判明したと発表した。
これは大東建託お客様サービス室に7月20日、大東建託リーシング店舗を利用した顧客から、他の顧客情報が閲覧可能である旨の連絡があり社内で確認したところ、顧客向けに使用していた同社グループのデータ共有機能にて、他の顧客情報にアクセス可能であることが判明したというもの。
データ共有機能は、同社サーバにアップロードした資料のURLを顧客と共有し契約関連書類や物件資料等を送付するもので、各顧客に共有したURL文字列の一部を推測・変更することで、他の顧客情報へのアクセスが可能であった。今回はアップロードファイルのうちURL文字列が連番になっていたため推測が可能な個人情報を含むファイルが331件あり、これらが閲覧可能であった。
閲覧可能であったのは2012年6月18日から2020年7月20日までの間に、大東建託、大東建託リーシング、大東建託パートナーズと取引等があった顧客687名分の住所、氏名等の個人情報。なお、第三者と推測される不審なアクセス記録は確認されておらず、不正利用などの二次被害は確認されていない。
同社では国土交通省へ経緯報告を行い、対象の顧客に対しては個別に連絡や書面を交付し説明を実施予定。
同社では今後、データ共有機能を完全に停止し、セキュリティの確保されたメール送受信ソフトを用いたデータ送信の実施を徹底し再発防止に努めるとのこと。
これは大東建託お客様サービス室に7月20日、大東建託リーシング店舗を利用した顧客から、他の顧客情報が閲覧可能である旨の連絡があり社内で確認したところ、顧客向けに使用していた同社グループのデータ共有機能にて、他の顧客情報にアクセス可能であることが判明したというもの。
データ共有機能は、同社サーバにアップロードした資料のURLを顧客と共有し契約関連書類や物件資料等を送付するもので、各顧客に共有したURL文字列の一部を推測・変更することで、他の顧客情報へのアクセスが可能であった。今回はアップロードファイルのうちURL文字列が連番になっていたため推測が可能な個人情報を含むファイルが331件あり、これらが閲覧可能であった。
閲覧可能であったのは2012年6月18日から2020年7月20日までの間に、大東建託、大東建託リーシング、大東建託パートナーズと取引等があった顧客687名分の住所、氏名等の個人情報。なお、第三者と推測される不審なアクセス記録は確認されておらず、不正利用などの二次被害は確認されていない。
同社では国土交通省へ経緯報告を行い、対象の顧客に対しては個別に連絡や書面を交付し説明を実施予定。
同社では今後、データ共有機能を完全に停止し、セキュリティの確保されたメール送受信ソフトを用いたデータ送信の実施を徹底し再発防止に努めるとのこと。