WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表

2024年3月29日クラウド労務管理「WelcomeHR」を運営するワークスタイルテック株式会社が、特定環境下で外部から162,830人分の個人情報が閲覧可能な状態にあり、さらに第三者から154,650人分の個人情報がダウンロードされた事を確認し、個人情報漏洩として公式HPで発表しました。

同社は2024年1月に上場企業のカオナビに小会社化されており、
親会社であるカオナビも個人情報漏洩に関するプレスリリースを発表しています。

また、2024年4月22日「WelcomeHR」を利用していたユーザー企業のLeaf NxTがWelcomeHR経由で約2万人の個人情報漏洩が発生した事を発表しました。

LeafNxTがワークスタイルテックが提供するWelcomeHRから個人情報漏洩を発表

個人情報漏洩の概要

顧客を管理するサーバのアクセス権限設定のミスにより、当該サーバに対して閲覧・ダウンロードが可能な状態になっていました。現在は改修を行い閲覧・ダウンロードは確認されていませんが、2次被害は確認中とのことです。

また、漏洩した個人情報には「WelcomeHR」へアップロードされた「マイナンバーや運転免許証、パスポート」など重要な個人情報が含まれています。

二次被害は確認できていないとされていますが、閲覧可能期間が約4年と長期間であり
個人情報のダウンロードは年末に実行されているので、第三者は意図を持って計画的に実行している
可能性が非常に高いです。そのため今後発表を注視する必要があります。

個人情報漏洩の期間

・閲覧が可能期間:2020年1月5日から2024年3月22日

・ダウンロードが確認された期間　2023年12月28日から2023年12月29日

漏洩した個人情報の人数

・162,830人

・162,830人のうち、第三者によるダウンロードが確認されたのは、154,650人

※漏洩した個人情報は直販顧客のみで、OEMや再販提供の場合、別環境で対象外

漏洩した個人情報のデータ項目

労務管理クラウドのため、非常に重要な個人情報が漏洩しています。

・氏名

・性別

・住所

・電話番号

・WelcomeHRのユーザーがアップロードした各種身分証明書

※身分証明書はマイナンバーカード、運転免許証、パスポート等

・履歴書等の画像

個人情報漏洩対象ユーザーにはメールで通知中

こちらメール本文です。
マイナンバーの件に関しても被害が出てないから〜の姿勢です😅 pic.twitter.com/yidO2PyTgo

— 3 (@yy_c22) April 13, 2024

カラオケ館でバイトしてたことあったんだけど、そこで提出させられたマイナンバーとか口座番号とかが情報漏洩されたみたいで過去一焦ってる。てかなんでこれニュースにならないの???
#welcomeHR pic.twitter.com/ozIqZ8o62s

— 水 (@w29_b) April 18, 2024

3月の半ばまでカラ館でバイトしてたんだけど、今日の昼にwelcomeHRで個人情報漏洩したってメール来てわろた。
マイナンバーに住民票に学生証に…提出した個人情報全部漏れてるんだけど。#welcomeHR pic.twitter.com/GQOCVfs8uf

— あるぱか (@ITHOTS_t) April 18, 2024

個人情報漏洩に関する補償について

真偽不明ですが、「WelcomeHR」経由で個人情報が漏洩した一般ユーザーへ補償の件も連絡されているようで、マイナンバーや免許証の変更に関する費用負担は行うとのことです。

なお、二次被害が発生した場合の損害は、同社の弁護士、警察と連携し適正な金額を支払うとしています。

変更手続き内容	補償費用 変更手数料、写真代、移動費込み
マイナンバー変更手続き費用	￥3,000
本人申告の変更手続き	￥1,000
在留カード変更手続き	￥2,500
運転免許証の変更手続き	￥4,500
パスポートの変更手続き	対象外　情報流出を理由に変更できない為
その他の変更手続き	要問合せ

※複数手続きした場合も補償

welcomeHR最悪すぎる。 pic.twitter.com/EAgK4s7ube

— しーちゃんレトリィバァ👩‍⚕️ (@drkanadeshiori) May 1, 2024

なお、株式会社シーユーシーから公式声明は出ていませんが、
同社が利用している「WelcomeHR」からの情報漏洩も確定となっています。

株式会社シーユーシーがワークスタイルテックが提供するWelcomeHRから個人情報漏洩

WelcomeHRを導入していると思われる企業

2024年の情報漏洩時と情報漏洩後に利用しているか不明ですが、WelcomeHRを導入していた企業は以下です。

プレスリリースから抜粋

・株式会社ガイアックスへ『クラウド労務サービスWelcomeHR』を導入開始（2020年7月2日　リリース）

・株式会社Kings Know、『クラウド労務サービスWelcomeHR』で入社手続きのペーパーレス化を実現（2020年10月2日

ワークスタイルテックの2024年2月バージョンの営業資料から導入事例を抜粋

以下は2024年5月に開催予定の総務・人事・経理WeeKのワークスタイルテック紹介ページで一般公開している営業資料から抜粋した導入企業のロゴです。

なお、導入企業が今回の漏洩事件に該当するかは各社リリースを出していない為不明です。

※全社導入か、一部従業員のみ導入かは不明

・「ピザーラ」を運営する株式会社フォーシーズ

・「ジャンカラ」を運営する株式会社TOAI

・スーパーマーケットの「オオゼキ」を運営する株式会社オオゼキ

・石油販売のＥＮＥＯＳ株式会社

・ドラッグストアチェーン「サンドラッグ」を運営する株式会社サンドラッグ

・剃刀などを販売するKAIグループ

・ホームセンター「ビバホーム」運営するアークランズ株式会社

・「ゴダイ薬局」を運営するゴダイ株式会社

・「庄や」「日本海庄や」「大庄水産」を運営する株式会社大庄

M&A後に小会社が個人情報漏洩した同様の事例

最近では、Suishowが運営していた位置情報共有SNS「NauNau」でモバイルファクトリーの買収前に個人情報漏洩が発生。
2024年3月にモバイルファクトリーがSuishow元代表の片岡 夏輝氏を提訴提起した事を発表しています。

ワークスタイルテック株式会社がカオナビ買収前に、クラウド環境で設定が公開されていた事を
ワークスタイルテック株式会社が認識していたか？によって今後の責任追及の矛先が変わっていくと予想されます。

モバイルファクトリーがSuishow 株式会社の現代表取締役へ訴訟提起 子会社化後に「NauNau」の個人情報漏洩疑惑が起因か

カオナビで情報漏洩は発生していない

2024年4月2日にカオナビのリリースにも記載されている通り、

今回情報漏洩したのはワークスタイルテック株式会社のサービスであり、カオナビで個人情報は漏洩していません。

各社の個人情報漏洩 リリースリンク

カオナビ リリース

当社子会社における個人情報漏えいに関するお知らせとお詫び

PDF リリース

ワークスタイルテック株式会社の株式取得及び第三者割当増資引受による子会社化完了に関するお知らせ

一部報道について

ワークスタイルテック　リリース

弊社サービスをご利用いただいているお客様への重要なご報告とお詫び

その他関連記事

中国が生成AIで作成したコンテンツをSNSで利用し、米国で世論工作を実施

ベネッセ 個人情報流出事件で地裁から賠償命令 3338人に計1100万円

セキュリティインシデント 事例【2023年】

EDRとは 意味やウイルスソフトやUTMとの違いを解説

I-SOON 中国政府へRATを提供していた企業から内部リーク

ランサムウェアとは 感染経路や被害事例 対策を簡単に解説