WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表
2024年3月29日クラウド労務管理「WelcomeHR」を運営するワークスタイルテック株式会社が、特定環境下で外部から162,830人分の個人情報が閲覧可能な状態にあり、さらに第三者から154,650人分の個人情報がダウンロードされた事を確認し、個人情報漏洩として公式HPで発表しました。
同社は2024年1月に上場企業のカオナビに小会社化されており、
親会社であるカオナビも個人情報漏洩に関するプレスリリースを発表しています。
また、2024年4月22日「WelcomeHR」を利用していたユーザー企業のLeaf NxTがWelcomeHR経由で約2万人の個人情報漏洩が発生した事を発表しました。
目次
個人情報漏洩の概要
顧客を管理するサーバのアクセス権限設定のミスにより、当該サーバに対して閲覧・ダウンロードが可能な状態になっていました。現在は改修を行い閲覧・ダウンロードは確認されていませんが、2次被害は確認中とのことです。
また、漏洩した個人情報には「WelcomeHR」へアップロードされた「マイナンバーや運転免許証、パスポート」など重要な個人情報が含まれています。
二次被害は確認できていないとされていますが、閲覧可能期間が約4年と長期間であり
個人情報のダウンロードは年末に実行されているので、第三者は意図を持って計画的に実行している
可能性が非常に高いです。そのため今後の発表を注視する必要があります。
個人情報漏洩の期間
・閲覧が可能期間:2020年1月5日から2024年3月22日
・ダウンロードが確認された期間 2023年12月28日から2023年12月29日
漏洩した個人情報の人数
・162,830人
・162,830人のうち、第三者によるダウンロードが確認されたのは、158,929人
※漏洩した個人情報は直販顧客のみで、OEMや再販提供の場合、別環境で対象外
漏洩した個人情報のデータ項目
労務管理クラウドのため、非常に重要な個人情報が漏洩しています。
・氏名
・性別
・住所
・電話番号
・WelcomeHRのユーザーがアップロードした各種身分証明書
※身分証明書はマイナンバーカード、運転免許証、パスポート等
・履歴書等の画像
クレジットカードやデビットカードの情報も漏洩
2024年5月31日の公式発表ではデータが漏洩した158,929人の内、デビットカードやクレジットカードの情報も漏洩していた事が追加されました。なお、セキュリティコードなどの漏洩は不明です。
個人データが漏えいした人数(総数):158,929人
(1)上記総数のうち 第三者による個人データのダウンロードが確認された人数:150,445人
(2)上記総数のうち 個人番号情報を含む人数:46,329人
(3)上記総数のうち クレジットカード又はデビットカード情報を含む人数:8,073人
(4)上記総数のうち 要配慮個人情報を含む人数:2,707人
(i) 上記(4)のうち 健康診断情報を含む人数:1,937人
(ii) 上記(4)のうち 障がい情報を含む人数:798人
個人情報漏洩対象ユーザーにはメールで通知中
個人情報漏洩に関する補償について
真偽不明ですが、「WelcomeHR」経由で個人情報が漏洩した一般ユーザーへ補償の件も連絡されているようで、マイナンバーや免許証の変更に関する費用負担は行うとのことです。
なお、二次被害が発生した場合の損害は、同社の弁護士、警察と連携し適正な金額を支払うとしています。
| 変更手続き内容 | 補償費用 変更手数料、写真代、移動費込み |
| マイナンバー変更手続き費用 | ¥3,000 |
| 本人申告の変更手続き | ¥1,000 |
| 在留カード変更手続き | ¥2,500 |
| 運転免許証の変更手続き | ¥4,500 |
| パスポートの変更手続き | 対象外 情報流出を理由に変更できない為 |
| その他の変更手続き | 要問合せ |
※複数手続きした場合も補償
イオン イーハートに関連する情報
シーユーシーに関する情報
なお、株式会社シーユーシーから公式声明は出ていませんが、
同社が利用している「WelcomeHR」からの情報漏洩は確定となっています。
WelcomeHRを導入していると思われる企業
2024年の情報漏洩時と情報漏洩後に利用しているか不明ですが、WelcomeHRを導入していた企業は以下です。
プレスリリースから抜粋
・株式会社ガイアックスへ『クラウド労務サービスWelcomeHR』を導入開始(2020年7月2日 リリース)
・株式会社Kings Know、『クラウド労務サービスWelcomeHR』で入社手続きのペーパーレス化を実現(2020年10月2日
ワークスタイルテックの2024年2月バージョンの営業資料から導入事例を抜粋
※全社導入か、一部従業員のみ導入、現在利用中か代理店商流かは不明
・「ピザーラ」を運営する株式会社フォーシーズ
・「ジャンカラ」を運営する株式会社TOAI
・スーパーマーケットの「オオゼキ」を運営する株式会社オオゼキ
・石油販売の株式会社ENEOSフロンティア
・ドラッグストアチェーン「サンドラッグ」を運営する株式会社サンドラッグ
・剃刀などを販売するKAIグループ
・ホームセンター「ビバホーム」運営するアークランズ株式会社
・「ゴダイ薬局」を運営するゴダイ株式会社
・「庄や」「日本海庄や」「大庄水産」を運営する株式会社大庄
2024年6月20日追記
ワークスタイルテック社から「直販の導入ではないロゴも含まれている」と指摘を受け、ロゴ掲載を取り下げました。
情報漏洩後に解約した企業は6社 (2024年5月23日追記)
2024年5月13日に発表されたカオナビの決算説明会での書き起こしによると、3月時点でインシデントに該当する契約企業約50社の内、解約申し入れは6社と発表しています。
WST社は、直販と代理店とOEMの、3つの販路でサービスを提供しており、3月末時点で約370社のお客さまを抱えています。今回のインシデントは、直販の顧客を管理するサーバーで発生し、この直販には約50社のお客さまがいらっしゃいます。
そして、情報漏えいを理由に、本日までに解約を申し入れてこられたお客さまは6社となっています。金額に換算すると、この6社の解約ARRはWST社全体のARRの5パーセント強に相当します。
引用:カオナビ、FY24/3のARRはYoY+30.1%の躍進 FY25/3は労務管理システム等への進出により中期的な成長加速を目指す
再発防止策を公表(5月31日追記)
2024年5月31日 WelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表しました。
M&A後に小会社が個人情報漏洩した同様の事例
最近では、Suishowが運営していた位置情報共有SNS「NauNau」でモバイルファクトリーの買収前に個人情報漏洩が発生。
2024年3月にモバイルファクトリーがSuishow元代表の片岡 夏輝氏を提訴提起した事を発表しています。
ワークスタイルテック株式会社がカオナビ買収前に、クラウド環境で設定が公開されていた事を
ワークスタイルテック株式会社が認識していたか?によって今後の責任追及の矛先が変わっていくと予想されます。
カオナビで情報漏洩は発生していない
2024年4月2日にカオナビのリリースにも記載されている通り、
今回情報漏洩したのはワークスタイルテック株式会社のサービスであり、カオナビで個人情報は漏洩していません。
各社の個人情報漏洩 リリースリンク
カオナビ リリース
ワークスタイルテック株式会社の株式取得及び第三者割当増資引受による子会社化完了に関するお知らせ
ワークスタイルテック リリース
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
その他関連記事
関連記事
Blast上のNFTゲーム Munchablesから6250 万ドル以上のイーサムリアが不正流出 北朝鮮が関与か
Rust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生
WelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表
Shinzoneを運営する株式会社シンゾーンがクラウド環境の誤設定で約4万人の個人情報漏洩の恐れ
ココグルメやミャオグルメを運営するバイオフィリアが不正アクセスの再発防止策を発表
ニコニコ動画 サイバー攻撃により閲覧ができない状態に
LeafNxTがワークスタイルテックが提供するWelcomeHRから個人情報漏洩を発表
サイバー攻撃集団 ロックビット(LockBit)とは?
株式会社シーユーシーがワークスタイルテックが提供するWelcomeHRから個人情報漏洩