WelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表
2024年5月31日 WelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表しました。
なお事件の概要は以下をご覧ください。
インシデント対応経緯
2024年3月22日:セキュリティ調査の実施過程でクラウドストレージへのアクセス権限の誤設定が発覚該誤設定については、同日中に直ちに是正。
2024年3月28日:追加調査の結果、第三者からの不正アクセスにより、クラウドストレージ内のファイルがダウンロードされた痕跡を確認。
2024年3月29日:ワークスタイルテック社のウェブサイトでインシデントについて公表するとともに、個人情報保護法に従って個人情報保護委員会に対する漏えい等報告(速報)を行い、加えて警察署への相談。
同日からご契約先の企業の皆様への通知を実施。エンドユーザー向けに、お客様ご相談窓口を設置のうえ、公表又は個別のご連絡により漏えい内容について順次通知、
現在もお問い合わせへの対応中。
2024年4月11日:外部専門機関に二次被害に関するダークウェブ調査を依頼。当該調査は、現在も継続中。
2024年4月26日:外部専門機関によるサーバー設定の再点検を実施し、情報漏えいに繋がる可能性がある指摘箇所については同日直ちに是正のうえ安全性を確保。情報漏えいリスクのない軽微な指摘箇所については、対応計画を立て、順次是正を実施。
2024年5月24日:個人情報保護法に従い、個人情報保護委員会に対して漏えい等報告(確報)を実施。
2024年5月31日:個人情報保護委員会に対して追加の情報提供を実施。
2次被害は発生していない
外部専門機関とともに調査を実施いたしましたが、現在までに、本事案で漏えいした個人データの不正利用の事実は確認されていないとしています。
ただ、クレジットカード、マイナンバー情報や住所、電話番号など重要な個人情報が漏洩している事から、今後の動向は注視する必要があります。
再発防止策
(1)システム管理体制の強化
クラウド設定の設計及び変更に関してダブルチェック体制を整備し、不正アクセス等の異常があった際に即時対応できるよう監視体制を強化。
また、万が一、不正アクセスがあった際の被害拡大防止策として、ユーザーからの預かりファイルの保管先分離及びアクセス制限の厳格化を実施。
(2)脆弱性診断の強化
現在実施しているアプリケーション及びネットワークに対する定期的な脆弱性診断に加え、上述したクラウド設定状況に関する診断についても定期的に実施。
(3)情報セキュリティに関する従業員への再教育
外部専門機関と連携し、個人情報保護や情報セキュリティに関する従業者への再教育を実施
漏洩に関する補償について
真偽不明ですが、「WelcomeHR」経由で個人情報が漏洩した一般ユーザーへ補償の件も連絡されているようで、マイナンバーや免許証の変更に関する費用負担は行うとのことです。
なお、二次被害が発生した場合の損害は、同社の弁護士、警察と連携し適正な金額を支払うとしています。
変更手続き内容 | 補償費用 変更手数料、写真代、移動費込み |
マイナンバー変更手続き費用 | ¥3,000 |
本人申告の変更手続き | ¥1,000 |
在留カード変更手続き | ¥2,500 |
運転免許証の変更手続き | ¥4,500 |
パスポートの変更手続き | 対象外 情報流出を理由に変更できない為 |
その他の変更手続き | 要問合せ |
※複数手続きした場合も補償