出典: Security NEXT – https://www.security-next.com/176782
札幌市中小企業共済センターで別会員の加入者リストがダウンロード可能に
札幌市中小企業共済センターの会員向けウェブページにおいて、委託先の操作ミスにより他の会員の加入者リストがダウンロードできる不具合が発生しました。約12時間にわたり、530社の企業会員および991人の個人会員の詳細情報が閲覧可能な状態となっていました。
主要なポイント
- 不具合の発生期間と内容:2025年10月20日22時30分から翌21日10時過ぎまで、他会員の加入者リストがダウンロード可能な状態に。
- 漏えいした情報の範囲:企業会員530社の企業名、電話番号、所在地、契約者氏名、振替口座情報、個人会員991人の氏名、性別、生年月日、就職年月日など。
- 原因:システム運用保守を委託しているNTTデータ北海道の作業における誤操作。
- 対応措置:ダウンロードした5社に削除依頼を行い、完了を確認。対象会員には個別に書面で通知。
技術的な詳細や背景情報
今回の不具合は、会員向けマイページのダウンロード機能におけるアクセス制御の誤設定が原因です。通常、会員が自身の加入者リストのみを閲覧・ダウンロードできるように権限管理が行われていますが、委託先の作業ミスにより他会員のデータにもアクセス可能な状態となりました。
このようなアクセス制御の不備は、ウェブアプリケーションの認証・認可機能に関連し、適切なユーザー識別や権限チェックが行われていない場合に発生します。特に個人情報や企業情報を扱うシステムでは、厳格なアクセス管理が求められます。
影響や重要性
漏えいした情報には個人の氏名や生年月日、企業の契約情報や振替口座情報など、プライバシーや財務に関わる重要なデータが含まれており、不正利用や詐欺のリスクが高まります。今回の事例は、委託先管理の不備が情報セキュリティに重大な影響を及ぼすことを示しており、運用監査や委託先との連携強化の必要性を浮き彫りにしています。
また、対象会員への速やかな通知と削除依頼の実施は被害拡大防止に不可欠ですが、情報漏えいの事実自体が信頼低下につながるため、再発防止策の徹底が求められます。
まとめ
札幌市中小企業共済センターの委託先による操作ミスで、他会員の加入者リストが一時的にダウンロード可能となった事案は、アクセス制御の重要性を改めて認識させるものです。個人情報保護の観点から、システム運用時の権限管理や委託先の作業監督を強化し、同様の事故を防ぐことが急務です。会員情報を扱う組織は、技術的対策と運用面の両面から情報セキュリティを見直す必要があります。
