WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表
2024年3月29日クラウド労務管理「WelcomeHR」を運営するワークスタイルテック株式会社が、特定環境下で外部から162,830人分の個人情報が閲覧可能な状態にあり、さらに第三者から154,650人分の個人情報がダウンロードされた事を確認し、個人情報漏洩として公式HPで発表しました。
同社は2024年1月に上場企業のカオナビに小会社化されており、
親会社であるカオナビも個人情報漏洩に関するプレスリリースを発表しています。
また、2024年4月22日「WelcomeHR」を利用していたユーザー企業のLeaf NxTがWelcomeHR経由で約2万人の個人情報漏洩が発生した事を発表しました。
目次
個人情報漏洩の概要
顧客を管理するサーバのアクセス権限設定のミスにより、当該サーバに対して閲覧・ダウンロードが可能な状態になっていました。現在は改修を行い閲覧・ダウンロードは確認されていませんが、2次被害は確認中とのことです。
また、漏洩した個人情報には「WelcomeHR」へアップロードされた「マイナンバーや運転免許証、パスポート」など重要な個人情報が含まれています。
二次被害は確認できていないとされていますが、閲覧可能期間が約4年と長期間であり
個人情報のダウンロードは年末に実行されているので、第三者は意図を持って計画的に実行している
可能性が非常に高いです。そのため今後発表を注視する必要があります。
個人情報漏洩の期間
・閲覧が可能期間:2020年1月5日から2024年3月22日
・ダウンロードが確認された期間 2023年12月28日から2023年12月29日
漏洩した個人情報の人数
・162,830人
・162,830人のうち、第三者によるダウンロードが確認されたのは、154,650人
※漏洩した個人情報は直販顧客のみで、OEMや再販提供の場合、別環境で対象外
漏洩した個人情報のデータ項目
労務管理クラウドのため、非常に重要な個人情報が漏洩しています。
・氏名
・性別
・住所
・電話番号
・WelcomeHRのユーザーがアップロードした各種身分証明書
※身分証明書はマイナンバーカード、運転免許証、パスポート等
・履歴書等の画像
個人情報漏洩対象ユーザーにはメールで通知中
個人情報漏洩に関する補償について
真偽不明ですが、「WelcomeHR」経由で個人情報が漏洩した一般ユーザーへ補償の件も連絡されているようで、マイナンバーや免許証の変更に関する費用負担は行うとのことです。
なお、二次被害が発生した場合の損害は、同社の弁護士、警察と連携し適正な金額を支払うとしています。
変更手続き内容 | 補償費用 変更手数料、写真代、移動費込み |
マイナンバー変更手続き費用 | ¥3,000 |
本人申告の変更手続き | ¥1,000 |
在留カード変更手続き | ¥2,500 |
運転免許証の変更手続き | ¥4,500 |
パスポートの変更手続き | 対象外 情報流出を理由に変更できない為 |
その他の変更手続き | 要問合せ |
※複数手続きした場合も補償
なお、株式会社シーユーシーから公式声明は出ていませんが、
同社が利用している「WelcomeHR」からの情報漏洩も確定となっています。
WelcomeHRを導入していると思われる企業
2024年の情報漏洩時と情報漏洩後に利用しているか不明ですが、WelcomeHRを導入していた企業は以下です。
プレスリリースから抜粋
・株式会社ガイアックスへ『クラウド労務サービスWelcomeHR』を導入開始(2020年7月2日 リリース)
・株式会社Kings Know、『クラウド労務サービスWelcomeHR』で入社手続きのペーパーレス化を実現(2020年10月2日
ワークスタイルテックの2024年2月バージョンの営業資料から導入事例を抜粋
以下は2024年5月に開催予定の総務・人事・経理WeeKのワークスタイルテック紹介ページで一般公開している営業資料から抜粋した導入企業のロゴです。
なお、導入企業が今回の漏洩事件に該当するかは各社リリースを出していない為不明です。
※全社導入か、一部従業員のみ導入かは不明
・「ピザーラ」を運営する株式会社フォーシーズ
・「ジャンカラ」を運営する株式会社TOAI
・スーパーマーケットの「オオゼキ」を運営する株式会社オオゼキ
・石油販売のENEOS株式会社
・ドラッグストアチェーン「サンドラッグ」を運営する株式会社サンドラッグ
・剃刀などを販売するKAIグループ
・ホームセンター「ビバホーム」運営するアークランズ株式会社
・「ゴダイ薬局」を運営するゴダイ株式会社
・「庄や」「日本海庄や」「大庄水産」を運営する株式会社大庄
M&A後に小会社が個人情報漏洩した同様の事例
最近では、Suishowが運営していた位置情報共有SNS「NauNau」でモバイルファクトリーの買収前に個人情報漏洩が発生。
2024年3月にモバイルファクトリーがSuishow元代表の片岡 夏輝氏を提訴提起した事を発表しています。
ワークスタイルテック株式会社がカオナビ買収前に、クラウド環境で設定が公開されていた事を
ワークスタイルテック株式会社が認識していたか?によって今後の責任追及の矛先が変わっていくと予想されます。
カオナビで情報漏洩は発生していない
2024年4月2日にカオナビのリリースにも記載されている通り、
今回情報漏洩したのはワークスタイルテック株式会社のサービスであり、カオナビで個人情報は漏洩していません。
各社の個人情報漏洩 リリースリンク
カオナビ リリース
ワークスタイルテック株式会社の株式取得及び第三者割当増資引受による子会社化完了に関するお知らせ
ワークスタイルテック リリース
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
その他関連記事