サンネット株式会社は3月29日、3月6日に公表した同社ホームページでの個人情報漏えいについて、確報を発表した。
同社ホームページでは、顧客がお問い合わせフォームからファイル添付して問い合わせた際に、当該ファイルが第三者から参照できる状態であったことが判明しており、漏えいした可能性のある個人情報と件数について調査を進めていた。
同社によると、2015年11月にホームページを更改した際のセキュリティ設定に不備があり、2022年9月からホームページでファイル添付可能な専用Webフォームの運用を開始した際に、ホームページサーバの一部ディレクトリが外部から参照可能になっていたことが原因とのこと。
同社では根本原因として、2015年11月のホームページ立ち上げ時に当該サーバのセキュリティ要件に不備がないかを点検するプロセスが十分ではなかったことを挙げ、社内情報資産に対する点検作業が担当者に属人化していたため、問題を発見できなかったとしている。
また2022年9月に同社ホームページに専用Webフォームの機能を追加した際には、新たに顧客の情報資産を当該サーバ上で取り扱うことになり、セキュリティ要件が格段に上がったにもかかわらず、当該サーバのセキュリティに対するリスクアセスメントが実施できていなかっとし、このタイミングでセキュリティ要件の再定義ができていれば、情報漏えい事故は防げていたと指摘している。
情報漏えいした内容と件数等は下記の通り。
・情報漏えいした内容
1.取引先の顧客情報
事業所名、代表者名、住所、請求情報、口座番号:1件
事業所名、代表者名、住所、電話番号、請求情報:2,081件
事業所名、住所、電話番号、請求情報:110件
事業所名、代表者名、住所:5件
事業所名:392件
2.取引先の担当者情報
担当者の氏名、メールアドレス:10件
取引に用いた文書:15件
合計:2,614件
・情報漏えいした事業所数:1,524件
同社では対象の取引先の顧客に報告と謝罪の対応を進めており、4月18日までに完了予定。
同社では3月3日に本事案を確認後、ホームページの専用Webフォームに添付されたファイルが第三者に参照されないようセキュリティ設定を変更している。
また同社ではホームページのセキュリティ強化対策として、専用Webフォームのファイル添付機能を3月12日に削除し、同社取引先から同社に連絡する際に利用していた専用フォームの利用を3月13日に中止し、同社のシステム保守問い合わせ窓口に直接メールで連絡を行うよう運用を変更している。
同社では3月7日から対象となる取引先に、個別に情報漏えいに関する報告と対応について相談を行っている。
同社では、同社で運用している個人情報の取り扱いに関する規程やセキュリティに関する規程を3月19日までに見直しており、見直した規程には、外部公開サーバ上で稼働しているシステムの利用方法や運用方法を変更する場合に、改めてセキュリティ要件に不備がないかをセキュリティ要件チェックリストを利用して点検の上で、システム管理者の承認を得るプロセスを追記している。
同社では、同社の外部公開サーバ上で稼働している全システムのセキュリティ要件を総点検した結果、3月25日時点で稼働している全てのサーバについて、本件と同様の事象が無いことを確認しており、さらなるセキュリティ強化が必要なサーバに、4月18日までにセキュリティ強化策を実施予定。
また同社では、自社で検討したセキュリティ強化策に不足がある可能性もあるため、外部調査機関に調査を依頼することを検討しており、4月30日までに対応予定。
同社では同社役員と社員、ビジネスパートナーメンバーが規程に沿った行動を徹底できるよう、同社内で臨時教育を実施し、3月28日に完了している。
さらに同社では年2回の頻度で定期的に実施している内部監査で、規程に沿った運用が行われていることを監査する。内部統制の強化策として、情報システム部門が年1回実施していたシステム監査を年2回に変更し、頻度を増やすことで社内のセキュリティリスク軽減を図るとのこと。
