出典: Cybersecurity JP – https://cybersecurity-jp.com/news/111329
デンソーウェーブの閲覧権限設定ミスによる個人情報の社内漏えいについて
2025年10月22日、株式会社デンソーウェーブはシステムの閲覧権限設定ミスにより、同社グループの従業員や派遣社員の個人情報が社内で広く閲覧可能な状態になっていたことを公表しました。本記事では、この事案の概要と技術的背景、影響、そして今後の対策について詳しく解説します。
主要なポイント
- 閲覧権限設定の誤り:情報可視化・共有ツール「Microsoft Power BI」の権限設定ミスにより、グループ内の全従業員が一部の個人情報を閲覧可能な状態に。
- 発覚の経緯:同社は当初この問題を把握していなかったが、従業員の指摘で発覚し、さらに調査を進めた結果、他のデータでも同様の設定ミスが確認された。
- 漏えい範囲と期間:データは社内のグループ内限定で閲覧可能で、外部からのアクセスは確認されていない。閲覧可能期間は2024年1月から2025年8月まで。
- 対応策:問題発覚後、閲覧権限を修正し、必要な担当者以外のアクセスを遮断。今後は権限設定の仕組み改修と個人情報保護教育の再実施を予定。
技術的な詳細や背景情報
今回の漏えいは、Microsoft Power BIというデータ分析・可視化ツールの権限設定ミスが原因です。Power BIは企業内の大量データを視覚的に分析し、共有するためのツールですが、適切なアクセス権限を設定しないと、意図しないユーザーに機密情報が見られてしまうリスクがあります。
権限設定ミスとは、ユーザーごとに閲覧可能なデータ範囲を制限する設定が誤っていたことを指します。例えば、本来は特定の部署や担当者だけが閲覧すべき情報を、全従業員が見られる状態にしてしまうことです。今回のケースでは、派遣社員などの個人情報が含まれていたため、情報漏えいのリスクが高まりました。
影響や重要性
今回の事案は外部への情報流出は確認されていないものの、社内での個人情報の不適切な取り扱いが明らかになりました。個人情報保護の観点からは、権限管理の徹底が不可欠であり、企業の信頼性にも影響を及ぼします。
特に派遣社員など、正社員以外の従業員の情報が広く閲覧可能だったことは、プライバシー保護の面で問題視されます。また、長期間にわたり設定ミスが続いていたことから、システム管理体制の見直しが急務です。
まとめ
株式会社デンソーウェーブの今回の事案は、システムの権限設定ミスによる社内個人情報の漏えいという典型的な内部リスクの一例です。Microsoft Power BIのような強力なデータ分析ツールを利用する際は、アクセス権限の厳格な管理が不可欠です。企業は今回の教訓を踏まえ、権限設定の見直しと従業員教育を強化し、個人情報保護体制の徹底を図る必要があります。
