WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表

2024年3月29日クラウド労務管理「WelcomeHR」を運営するワークスタイルテック株式会社が、特定環境下で外部から162,830人分の個人情報が閲覧可能な状態にあり、さらに第三者から154,650人分の個人情報がダウンロードされた事を確認し、個人情報漏洩として公式HPで発表しました。

また、2024年4月22日「WelcomeHR」を利用していたユーザー企業のLeaf NxTがWelcomeHR経由で約2万人の個人情報漏洩が発生した事を発表しました。

個人情報漏洩の概要

顧客を管理するサーバのアクセス権限設定のミスにより、当該サーバに対して閲覧・ダウンロードが可能な状態になっていました。現在は改修を行い閲覧・ダウンロードは確認されていませんが、2次被害は確認中とのことです。

個人情報漏洩の期間

・閲覧が可能期間:2020年1月5日から2024年3月22日

・ダウンロードが確認された期間 2023年12月28日から2023年12月29日

漏洩した個人情報の人数

・162,830人

※漏洩した個人情報は直販顧客のみで、OEMや再販提供の場合、別環境で対象外

漏洩した個人情報のデータ項目

・氏名

・性別

・住所

・電話番号

クレジットカードやデビットカードの情報も漏洩

2024年5月31日の公式発表ではデータが漏洩した158,929人の内、デビットカードやクレジットカードの情報も漏洩していた事が追加されました。なお、セキュリティコードなどの漏洩は不明です。

個人データが漏えいした人数(総数):158,929人

  (1)上記総数のうち 第三者による個人データのダウンロードが確認された人数:150,445人
  (2)上記総数のうち 個人番号情報を含む人数:46,329人
  (3)上記総数のうち クレジットカード又はデビットカード情報を含む人数:8,073人
  (4)上記総数のうち 要配慮個人情報を含む人数:2,707人
     (i) 上記(4)のうち 健康診断情報を含む人数:1,937人
     (ii) 上記(4)のうち 障がい情報を含む人数:798人

個人情報漏洩対象ユーザーにはメールで通知中

個人情報漏洩に関する補償について

真偽不明ですが、「WelcomeHR」経由で個人情報が漏洩した一般ユーザーへ補償の件も連絡されているようで、マイナンバーや免許証の変更に関する費用負担は行うとのことです。

変更手続き内容補償費用
変更手数料、写真代、移動費込み
マイナンバー変更手続き費用¥3,000
本人申告の変更手続き¥1,000
在留カード変更手続き¥2,500
運転免許証の変更手続き¥4,500
パスポートの変更手続き対象外 情報流出を理由に変更できない為
その他の変更手続き要問合せ

※複数手続きした場合も補償

イオン イーハートに関連する情報

シーユーシーに関する情報

WelcomeHRを導入していると思われる企業

プレスリリースから抜粋

株式会社ガイアックスへ『クラウド労務サービスWelcomeHR』を導入開始(2020年7月2日 リリース)

株式会社Kings Know、『クラウド労務サービスWelcomeHR』で入社手続きのペーパーレス化を実現(2020年10月2日

ワークスタイルテックの2024年2月バージョンの営業資料から導入事例を抜粋

・「ピザーラ」を運営する株式会社フォーシーズ

・「ジャンカラ」を運営する株式会社TOAI

・スーパーマーケットの「オオゼキ」を運営する株式会社オオゼキ

・石油販売の株式会社ENEOSフロンティア

・ドラッグストアチェーン「サンドラッグ」を運営する株式会社サンドラッグ

・剃刀などを販売するKAIグループ

・ホームセンター「ビバホーム」運営するアークランズ株式会社

・「ゴダイ薬局」を運営するゴダイ株式会社

・「庄や」「日本海庄や」「大庄水産」を運営する株式会社大庄

2024年6月20日追記

ワークスタイルテック社から「直販の導入ではないロゴも含まれている」と指摘を受け、ロゴ掲載を取り下げました。

情報漏洩後に解約した企業は6社 (2024年5月23日追記)

WST社は、直販と代理店とOEMの、3つの販路でサービスを提供しており、3月末時点で約370社のお客さまを抱えています。今回のインシデントは、直販の顧客を管理するサーバーで発生し、この直販には約50社のお客さまがいらっしゃいます。

そして、情報漏えいを理由に、本日までに解約を申し入れてこられたお客さまは6社となっています。金額に換算すると、この6社の解約ARRはWST社全体のARRの5パーセント強に相当します。

引用:カオナビ、FY24/3のARRはYoY+30.1%の躍進 FY25/3は労務管理システム等への進出により中期的な成長加速を目指す

再発防止策を公表(5月31日追記)

2024年5月31日 WelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表しました。

M&A後に小会社が個人情報漏洩した同様の事例

ワークスタイルテック株式会社がカオナビ買収前に、クラウド環境で設定が公開されていた事を
ワークスタイルテック株式会社が認識していたか?
によって今後の責任追及の矛先が変わっていくと予想されます。

カオナビで情報漏洩は発生していない

2024年4月2日にカオナビのリリースにも記載されている通り、

各社の個人情報漏洩 リリースリンク

カオナビ リリース

当社子会社における個人情報漏えいに関するお知らせとお詫び

PDF リリース

ワークスタイルテック株式会社の株式取得及び第三者割当増資引受による子会社化完了に関するお知らせ

一部報道について

ワークスタイルテック リリース

弊社サービスをご利用いただいているお客様への重要なご報告とお詫び

その他関連記事

TOPへ