クラウドによる労務管理サービス「WelcomeHR」を提供しているワークスタイルテック株式会社(東京都港区)は、サーバーのアクセス権限設定の誤りにより16万2830人分の個人データが外部から閲覧可能な状態になっていたことを明らかにしました。うち15万4650人分の個人データが第三者によってダウンロードされており、漏えいデータにはマイナンバーや運転免許証のデータが含まれているということです。(画像はWelcomeHRのウェブサイトより)
サーバーのアクセス権限設定を誤る
ワークスタイルテックの発表によると、サービス利用者が保存するファイル一覧を本来は外部からアクセスできない仕様とすべきところ、サーバーのアクセス権限の誤設定により2020年1月5日から2024年3月22日までの間、サーバーに保存されていた個人データが閲覧可能な状態にあり、その対象者は16万2830人にのぼるということです。また、2023年12月28日から2023年12月29日の2日間に15万4650人分の個人データが何者かによってダウンロードされていたということです。
流出した個人データには、氏名、性別、住所、電話番号のほかアップロードされたマイナンバーカードや運転免許証、パスポートの情報、さらに履歴書の画像などが含まれているということです。今年3月22日にセキュリティ調査を実施したところサーバーのアクセス権限が誤って設定されていることが発覚したということです。同社では情報が漏洩した事業者に対して個別に連絡をするとしています。
WelcomeHRは、事業者や店舗などにおける労務管理のためのシステムをクラウドで提供しているサービスで、導入店舗は26000店にのぼるということです。このサービスは従業員が自ら登録してスマホでアクセスして個人データを入力することで労務管理をクラウド上で自動化しているものとみられ登録アカウントは68万人以上にのぼっているということです。
マイナポータルAPIの活用拡大の最中
WelcomeHRのウェブサイトでは、同サービスが飲食店や小売業者に選ばれていることを強調し、人事労務を初めて担当する人のためのサービスと謳っています。「設定は丸投げ、当社がカスタム」の見出しで「会社情報の登録、契約書の電子化、個人情報取得用のフォームの作成や給与システムとの連携CSVのご用意など、必要な設定は当社にお任せください。整備された状態で運用を開始できます」と説明しています。
また、2022年10月からはマイナポータルAPIを利用した電子申請手続きに対応、全国の健康保険組合・年金事務所への社会保険手続きをパソコンやスマホから申請することができるようにしたということです。同社ではマイナポータルAPIを利用したさらなる手続きの拡大を進めているようです。
今回のサーバーのアクセス権限の誤設定によるデータ流出を受けて同社は「事態を厳粛に受け止め、従業員への教育を徹底するとともに、継続的にサーバーの設定状況を監視する仕組みを構築する等、再発防止を図ってまいります」としています。
■出典