クラウドによる労務管理サービス「WelcomeHR」を提供しているワークスタイルテック株式会社(東京都港区、ドレ・グスタボ社長)は、サーバーのアクセス権限設定の誤りにより15万4650人分の個人データが流出したと発表した。流出したデータにはマイナンバーや運転免許証のデータが含まれているという。
ワークスタイルテックの発表によると、クラウド労務管理サービス「WelcomeHR」に登録している個人データを保存しているサーバーを本来なら外部からアクセスできない仕様にすべきところ、アクセス権限の設定誤りにより2020年1月5日から2024年3月22日までの間に保存されていた16万2830人分の個人データが閲覧できる状態になっていた。うち15万4650人分のデータについては2023年12月28、29日に第三者によってダウンロードされていたという。
流出したデータは、氏名、性別、住所、電話番号のほかアップロードされたマイナンバーカードや運転免許証、パスポートの情報、さらに履歴書の画像などが含まれているという。今年3月22日にセキュリティ調査を実施したところサーバーのアクセス権限が誤って設定されていることが発覚した。同社では情報が漏洩した事業者に対して個別に連絡をするとしている。
WelcomeHRは、事業者や店舗などにおける労務管理のためのシステムをクラウドで提供しているサービスで、WelcomeHRのウェブサイトによると導入店舗は26000店にのぼる。このサービスは事業者や店舗等がクラウドを使って労務管理を行うことができるもので、ユーザーである事業者や店舗の従業員が自らスマホから登録して個人データを入力することで、労務管理担当者はクラウド上で労務管理を行うことができるもの。登録アカウント数は68万人以上にのぼるという。
また、2022年10月からはマイナポータルAPIを利用した電子申請手続きに対応しており、全国の健康保険組合・年金事務所への社会保険手続きをパソコンやスマホから申請することができる。同社ではマイナポータルAPIを利用した手続きの拡大を進めていた。個人データの大量流出を受けて同社は「事態を厳粛に受け止め、従業員への教育を徹底するとともに、継続的にサーバーの設定状況を監視する仕組みを構築する等、再発防止を図ってまいります」としているが、個人情報保護委員会への対応等については明らかにしていない。
■出典
https://workstyletech.com/incident_report03292024/
