2025年2月5日、京都府は府が運営する就職・転職サイト「ジョブこねっと」において、インターンシップ応募者の個人情報が本来閲覧権限のない企業にも閲覧できる状態になっていたことを発表しました。この問題はシステムの設計ミスによるものであり、同日現在、被害の報告はないとされています。
インシデントの概要
「ジョブこねっと」は、府内企業の採用活動を支援する目的で運営されており、インターンシップ応募者の個人情報は、応募を受けた企業のみが閲覧できるように設定されているはずでした。
しかし、昨年5月の運用開始以来、特定の操作を行うことで、登録企業2,250社すべてが122人の応募者の個人情報(氏名、電話番号など)を閲覧できる状態だったことが判明しました。
この問題は、2025年1月29日に企業からの指摘を受けて発覚し、京都府は直ちに運用を停止。その後、応募者に対して謝罪を行いました。
参照
インターン応募者の個人情報が閲覧できる状態に 自治体の就職サイト、システム開発に不備
関連記事
DeepSeekに利用者の情報を中国政府に直接送信する機能が存在
セキュリティインシデント 事例【2022年】
東京ガスの子会社の不正アクセス 横浜市で1.4万件の個人情報漏洩の可能性
あいざわアセットマネジメント、5月の不正アクセスで個人情報漏洩の可能性
Zabbixの重大な脆弱性に対するPoCエクスプロイトが公開(CVE-2024-42327)
クラウドストライク 「Falcon センサー」を搭載した Windows 11 バージョン 24H2 でアプリが動作しなくなる可能性
Apple、Siriがユーザーの許可なく会話を記録・保存したとする訴訟で和解
インメモリデータベースのRedisで2つの脆弱性(CVE-2024-51741,CVE-2024-46981)
MongoDBのオブジェクトモデリングツール Mongooseで危険度の高い脆弱性(CVE-2025-23061)