完了しました
企業や自治体などのデータを保管する米国企業の「クラウドサービス」で、38の自治体や国内企業の個人情報などが、外部から閲覧できる状態だったことがわかった。企業などの利用者側が行った公開範囲の設定に不備があったためだが、米国企業のサービスの設定が難解なことが要因との指摘もある。内閣サイバーセキュリティセンター(NISC)は、気づいていない企業などがあるとみて注意を呼びかけている。
国内大手
米国企業は「セールスフォース・ドットコム」。東京にある日本法人は、国内のクラウドサービスでは大手に入る。
総務省や国の個人情報保護委員会によると、公開状態だったのは、千葉県船橋市や大阪府茨木市など計20自治体と、楽天やSMBC日興証券など18企業にのぼる。いずれも、利用する自治体や企業による公開範囲の設定ミスが原因という。
このうち、神戸市や東京都東村山市など7市と、ソフトバンクグループ傘下のキャッシュレス決済「ペイペイ」や楽天など5企業の情報は、外部の第三者が閲覧した形跡が確認された。情報が悪用された事例は確認されていない。
問題は、ペイペイが昨年12月、加盟店の経営者の氏名や連絡先などが閲覧可能だったと公表し、その後に相次いで発覚。楽天も同月、通販サイトへの出店に関する資料を請求した人ら約148万件の氏名や連絡先などが公開状態で、一部は実際に見られた形跡があったと発表した。
自治体では今年2月、東村山市の防災アプリ登録者約1万人の氏名や居住地区などが公開状態で、外部から162回のアクセスがあったことが市の調査で判明した。市はアプリの利用者に連絡し、4月まで追加調査する事態となった。
神戸市でも、道路のひび割れなどを市に通報できるアプリの利用者1万2000人分の氏名やメールアドレスなどが流出した可能性があるという。
説明書600ページ
セ社も含めたクラウドサービスでは、提供会社が機器やソフトウェアの保守管理を行い、利用する側が情報の公開範囲や接続権限などを設定する。セ社は「当社の製品に弱点があるわけではなく、利用企業などがアクセスできる権限の設定を誤ったためだ」としている。
一方、利用企業と自治体からは、セ社のサービスの設定は複雑で、正しく対応するのは難しいとの声も上がる。閲覧状態が判明した金融機関の担当者は「設定のどこに問題があるかを把握するだけでも、600ページ以上の説明書を読む必要がある。もっとサポートするべきだ」と訴える。
楽天も今年1月、「システム提供元に対して、仕様変更や再設定の詳細情報を継続して求めている」との声明を出した。
NISCは設定ミスに気づいていない自治体や企業があるとみて、確認を呼びかけるとともに、セ社にも対応を求めている。