willgate

SEO事業、Webソリューション事業などを営む株式会社ウィルゲート(東京都渋谷区)は、10月20日付で、自社が運営する保険見直しサービス「保険ゲート」のシステム上の設定にミスがあり、センシティブ情報を含む相談者の個人情報約1万件が流出したと、発表しました。

同社では、保険見直しを希望する相談者が申し込みフォームに入力した内容をメールに変換して受信していたようです。しかも、この受信アドレスが、社内業務用のメーリングリスト(複数の人に同時にメールを配信する仕組み)のアドレスだったのですが、そのメーリングリトの転送先(約50程度とのこと)の中に関係者ではないメールアドレスが13件登録されており、相談者のセンシティブ情報を含む個人情報がそれら関係者ではないアドレスに流出したとのことです。

流出したのは

(1)2012年3月1日から6月27日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「住所の一部(都道府県市区町村)」5,905件

(2)2012年6月28日から9月30日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「電話番号」「メールアドレス」「持病情報」「服用薬」「世帯年収」「配偶者情報」5,588件 

とのことで、特に(2)の「持病情報」「服用薬」は身体に関する情報にあたりますので、プライバシーマーク制度上のセンシティブ情報(特定の機微な情報)です。

同社では、「保険ゲート」の全サービスを停止して、現状調査、関係者へのお詫び、原因究明と再発防止策などを行なっているようです。

http://www.willgate.co.jp/
http://www.willgate.co.jp/20121024.html
http://www.hokengate.jp/

(私のコメント)
今回の事件が発覚する前の同社のシステムには何重にも問題があります。

(1)そもそも、センシティブ情報を含む個人情報を、電子メールの形式でインターネット上を平文で(暗号化しないで)流すべきではありません。同社はプライバシーマーク認定事業者です。この状態でプライバシーマークの審査が行われれば、間違いなく指摘されることでしょう。
(2)また、センシティブ情報をメーリングリストで多数の関係者で共有すべきではありません。共有先が関係者に限られていたとしても、何十人もの関係者のメールの受信簿に大事な顧客のセンシティブ情報が大量に蓄積されるようでは、パソコンの紛失・盗難や、社員が悪意を持って流出させる可能性があるなどいずれにせよ大きなリスクを抱えることになります。
(3)さらに、メーリングリストの配信先に見知らぬアドレスが含まれていたということから考えると、メーリングリストの配信先などの管理が外部から可能となっていた可能性があります。メーリングリストという仕組みは、古くからインターネット上で使用されていますが、様々な脆弱性が残っており、センシティブ情報を取り扱うに足るような高いセキュリティを実現できる仕組みではありません。

私が同社に電話で問い合わせたところによると、同社では現在のようなフォームメールとメーリングリストを組み合わせたシステムでの運用はやめて、もっとセキュリティの高い仕組みに切り替えていくとのことでした。当然のことだと思いますし、そのことも公表していただいたほうがいいと思います。

2013年1月10日追記:
同社より最終報告が出ております。今後はメーリングリストでの個人情報の共有はやめるそうです。一件落着ですね。
http://www.willgate.co.jp/20121221.html



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!