LeafNxTがワークスタイルテックが提供するWelcomeHRから個人情報漏洩を発表

投稿日時: 2024年09月06日更新日時: 2024年09月07日

2024年4月22日人材派遣業を行う株式会社LeafNxT(リーフネクスト)が利用していた、ワークスタイルテック株式会社が提供するWelcomeHRで外部から約2万人分の個人情報閲覧が可能な状態にあり、さらに第三者から個人情報をダウンロードされた事実を公表しました。

ワークスタイルテックは2024年3月29日に個人情報漏洩を発表しており、今回の個人情報漏洩は以下ワークスタイルテックのインシデントが原因となります。

1 個人情報漏洩の発生経緯
2 漏洩した個人情報
3 対象登録期間および本人の個人情報を取得した各法人
4 損害賠償は行われるのか？
5 公式リリース

個人情報漏洩の発生経緯

LeafNxTが、2020年7月1日から2023年9月30日の間、スタッフ登録または求職申込手続き書類の回収に使用していた、ワークスタイルテック株式会社が提供するクラウドサービス「WelcomeHR」において、本人からアップロードされた個人データが外部から閲覧可能な状態にあり、実際に第三者によってダウンロードが行われていた事実が判明。

WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表

株式会社シーユーシーがワークスタイルテックが提供するWelcomeHRから個人情報漏洩

漏洩した個人情報

「WelcomeHR」をへ入力・アップロードされた、 26,829人分の以下情報

・氏名

・性別

・電話番号

・住所

・アップロードされた各種画像データ（本人確認書類、マイナンバー確認書類等）

今回も非常に重要な個人情報であるマイナンバーや住所、電話番号が流出しており、ワークスタイルテックは2次被害の可能性を否定していますが、今回漏洩した個人情報は重要な情報も多く、厳密な2次被害調査が必要になります。

特にマイナンバーと電話番号があればSimスワップなどを行い、携帯番号を乗っ取り、銀行口座へ不正侵入し金銭を取得したり、銀行口座の新規口座開設も可能になってしまいます。

不正取得された銀行口座が資金洗浄などに使われると、知らないうちに犯罪による収益の移転防止に関する法律に違反し、各種口座開設や米国への入国も出来なくなります。

対象登録期間および本人の個人情報を取得した各法人

・2020年7月1日〜2020年10月31日株式会社スタッフサポーター
・2020年11月1日〜2021年9月30日株式会社ツナグ・スタッフィング
・2021年10月1日〜2022年2月28日株式会社ツナググループHC
・2022年3月1日〜2023年9月30日株式会社LeafNxT

（※）上記の各法人はいずれもLeafNxTまたはLeafNxTが現在事業を承継しているLeafNxTのグループ会社。株式会社ツナグ・スタッフィングは2020年11月1日付で株式会社スタッフサポーターを吸収合併し、株式会社ツナグ・スタッフィングは2021年10月1日付で人材派遣・有料職業紹介事業を株式会社ツナググループHCに事業承継。LeafNxTは2022年3月1日付で株式会社ツナググループHCから人材派遣・有料職業紹介事業を事業承継。

なお、「WelcomeHR」から個人情報の漏えいが発生した時点において、LeafNxTとワークスタイルテック株式会社間における「WelcomeHR」利用に関する契約は終了済み。

しかし同契約の終了後も「WelcomeHR」において、本件に係る個人情報が保存されていたため、本件が発生するに至ったとのこと。