労務管理クラウドの「WelcomeHR」、個人情報15万人分漏えい　マイナカード画像も

カオナビ子会社のワークスタイルテックは29日、同社が運営する労務管理ソフトウェア「WelcomeHR」で、顧客の個人データが特定の条件下で外部から閲覧可能な状態となり、個人データが漏えいしたと発表した。

漏えいした個人データの項目は、氏名、性別、住所、電話番号、利用者がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像。対象データの人数は162,830人で、第三者によるダウンロードが確認されたものは154,650人。なお、漏えいした情報は、同社と直接契約している顧客のもの。OEM契約や再使用権許諾契約に基づく利用者は対象外。

WelcomeHRは、アルバイトのクラウド労務管理サービス。同社Webサイトによれば、飲食店や小売業などを中心に26,000店舗で導入されている。

本来、顧客がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様だが、ワークスタイルテックのサーバーのアクセス権限の誤設定により、閲覧可能な状態となっていた。これにより、ファイルの一覧の情報をもとに各ファイルをダウンロード可能となっており、実際に第三者によるファイルのダウンロードが行なわれていたという。

同社によれば、3月22日のセキュリティ調査でサーバーのアクセス権限の誤設定が報告され、同日に是正。調査の結果、2020年1月5日から2024年3月22日まで閲覧可能で、'23年12月28日から12月29日のダウンロードが確認された。被害については調査中だが、3月29日時点では二次被害は確認されていないとする。