ダイソー、Googleグループで情報漏洩の可能性 5年以上“公開設定”

大創産業(ダイソー)は、メーリングリストやクラウドサービスの設定不備により個人情報などが流出した可能性があると明らかにした。情報漏洩の対象件数は合計で10,307件。現時点で、情報漏洩による二次被害の発生は確認されていないとしている。

ダイソーが業務で利用していた「Google グループ」の閲覧権限に同社の設定不備があり、外部からの指摘で、ECサイトのユーザー、取引先、中途採用応募者、従業員とやりとりしたメールの一部が、外部から閲覧可能な状態だったことが判明した。

調査の結果、57個の「Google グループ」において、本来は登録メンバー内のみで利用すべき閲覧制限が「公開設定」になっていたという。問題の期間は2019年12月9日～2025年4月26日で、約5年4カ月間にわたる。

ダイソーは、問題が判明した直後の4月26日にアクセス権限を制限する措置をとり、問題の57グループについて非公開設定にした。現在は全グループで公開設定にできない機能制限が設けられたほか、社員個人のみではグループを新規作成できない制限も設けられた。

流出した可能性があるのは1万件以上

情報漏洩の可能性のある人の種類は、ECサイトを利用したユーザー、取引先、中途採用応募者、従業員の4種類。ECサイトの対象ユーザーには個別に連絡が行なわれている。

情報漏洩の可能性のある、ECサイトを利用したユーザーの数は合計4,498人。情報別の内訳は、「氏名、住所、電話番号、メールアドレス等」が4,008人(うち口座情報49件を含む)、住所のみが355人、メールアドレスのみが135人。

取引先は4,578件で、会社名、担当者氏名、部署名、役職、電話番号、メールアドレス等が含まれる。

中途採用応募者は合計698人で、履歴書、職務経歴書等が615人。氏名、住所、電話番号、メールアドレス等が83人。

従業員は合計533人で、氏名、性別、生年月日、住所、電話番号、メールアドレス、所属、役職等が380人、健康保険証等が149件、要配慮個人情報等が4件。