100円ショップ「ダイソー」などを展開する株式会社大創産業は2025年6月18日、同社が業務利用していた「Googleグループ」の閲覧設定に不備があり、一部の個人情報が外部から閲覧可能な状態になっていたことを公表しました。
該当のGoogleグループは合計57件に及び、2019年12月9日から2025年4月26日までの長期間にわたり誤設定が放置されていたとされています。
発覚の経緯と影響範囲
2025年4月26日、外部からの指摘により事案が判明。調査の結果、Googleグループの閲覧制限が適切に設定されておらず、本来は社内メンバーのみが閲覧できるはずの内容がインターネット上で誰でも閲覧できる状態にあったことが確認されました。
流出の可能性がある個人情報は以下の通りです
- ECサイト利用者 4,498件:氏名、住所、電話番号、メールアドレスなど(口座情報含む49件を含む)
- 取引先 4,578件:会社名、担当者名、部署、役職、連絡先等
- 中途採用応募者 698件:履歴書・職務経歴書(615件)、連絡先など(83件)
- 従業員 533件:氏名、住所、連絡先、所属、役職、健康保険証、要配慮個人情報等
対応状況と再発防止策
大創産業は、判明当日にすべての該当グループを非公開に設定。以後はGoogleグループの「公開」設定を無効化し、グループ作成には社内承認が必要となるようフローを整備しました。また、個人情報が含まれていたお客様には個別に連絡済みで、現時点での二次被害は確認されていません。
5月1日には個人情報保護法に基づき、個人情報保護委員会への報告も完了しており、今後は同委員会の指導を受けながら対応を進めるとしています。今後は社員教育の強化を図り、再発防止に努めるとしています。
クラウドサービス誤設定のセキュリティ的な対策
対策としてはクラウドサービス導入時にセキュリティチェックリストを用いた初期設定の確認を徹底し、設定内容が適切かを第三者の目でもレビューする体制の確立。
また、社内での権限管理を厳格化し、必要最小限のアクセス権限に絞るIAM(アイデンティティ・アクセス管理)を実践します。
加えて、アクセスログの取得と定期的な監査により、異常なアクセスがないかを継続的に監視できる仕組みを整える必要があります。
関連記事
トヨタ自動車へ不正アクセス 約240GBの情報漏洩の可能性
ランサムウェア「ブラックスーツ」が米IT企業へ不正アクセスし約95万人の個人情報を窃取
トヨタ自動車の不正アクセスによる情報漏洩は第三者から漏洩の可能性
Oisix.com、約9.7万件のなりすましログイン(不正アクセス)の注意喚起
損保ジャパン、4月の不正アクセスによるサイバー攻撃で最大約1,748万件の情報漏洩の可能性
ロサンゼルス郡 フィッシングメールで20万人以上の市民の個人情報漏洩の可能性
三菱電機子会社の三菱電機ホーム機器へ不正アクセス 231万人の個人情報漏洩の可能性
サイゼリヤが不正アクセスとランサムウェアで個人情報と機密情報が漏洩
ライクキッズ、サイバー攻撃とランサムウェア 被害で約15万件の個人情報漏洩の可能性
