ワークスタイルテック株式会社は5月31日、3月29日に公表した同社のクラウド労務管理サービス「WelcomeHR」での個人データの漏えいについて、続報を発表した。
同社の「WelcomeHR」では2020年1月5日から2024年3月22日までの間、サーバのアクセス権限の誤設定が原因で顧客の個人データが限定された特定の条件下で外部から閲覧及びダウンロードが可能な状態となっており、実際に2023年12月28日から12月29日に、第三者からの不正アクセスによるファイルのダウンロードが行われていたことが発覚している。
漏えいしたのは、2020年1月5日から2024年3月22日までの間に顧客が「WelcomeHR」を通じてクラウドストレージにアップロードしていた各種身分証明書等のPDFファイル及び画像ファイル(氏名、住所、生年月日、性別、電話番号等を含む)。総数は158,929人で、その詳細は下記の通り。
1.上記総数のうち第三者による個人データのダウンロードが確認された人数:150,445人
2.上記総数のうち個人番号情報を含む人数:46,329人
3.上記総数のうちクレジットカード又はデビットカード情報を含む人数:8,073人
4.上記総数のうち要配慮個人情報を含む人数:2,707人
上記4.のうち健康診断情報を含む人数:1,937人
上記4.のうち障がい情報を含む人数:798人
同社では、漏えいがあった契約先の企業とエンドユーザーの顧客に順次個別に連絡を行う。
同社では再発防止策として、システム管理体制の強化、脆弱性診断の強化、情報セキュリティに関する従業員への再教育を実施するとのこと。
また同社では7月10日に、「より、クライアント様、エンドユーザーの皆様に安心してWelcomeHRをご利用していただける環境を提供できればと考」え、サイバー保険に加入したことを公表している。
なお、個人情報の取扱いをワークスタイルテックに委託していた株式会社LeafNxTでは、「WelcomeHR」から個人情報の漏えいが発生した時点でLeafNxTとワークスタイルテック間における「WelcomeHR」利用に関する契約は終了していたにもかかわらず、終了後も「WelcomeHR」で個人情報が保存されていたことを原因として挙げていたが、ワークスタイルテックでは本件について触れていない。