健康診断予約管理システムの情報漏えい事例｜パーソルクロステクノロジーの設定ミスから学ぶ対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

パーソルクロステクノロジーで発生した健康診断システム情報漏えい事件
1. 事件の詳細な経緯
漏えいした個人情報の詳細
フォレンジック調査から見える問題点
個人・中小企業が学ぶべき教訓
1. 個人ができる対策
2. 中小企業が取るべき対策
今後の対策と業界への影響
まとめ：予防は治療に勝る
一次情報または関連リンク

パーソルクロステクノロジーで発生した健康診断システム情報漏えい事件

2025年7月、パーソルクロステクノロジー株式会社で重大なセキュリティインシデントが発生しました。同社が利用する健康診断予約管理システムにおいて、設定ミスが原因で従業員11,704名の個人情報が意図せずダウンロードされるという事態となったのです。

この事件は、システム運用における人的ミスがいかに深刻な情報漏えいにつながるかを示す典型的な事例として、多くの企業に警鐘を鳴らしています。

事件の詳細な経緯

事件の発端は、システムのアカウント作成時の誤操作でした。以下が時系列での詳細な経緯です：

6月20日：グループ会社A社の人事担当者が健康診断予約管理システムにログインし、情報検索を実施。この際、画面に表示された従業員情報にパーソルクロステクノロジーの従業員情報が含まれていることを発見しました。

発見後：A社担当者が健康診断予約管理業務を委託しているB社に報告。

ログ調査結果：B社でシステムログを詳細に調査した結果、A社の別の人事担当者1名が健康診断予約情報を検索し、データをダウンロードしていたことが判明。

6月27日：パーソルクロステクノロジーがA社人事担当者によるデータのコピー・転送が行われていないこと、およびデータが削除されていることを確認。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

漏えいした個人情報の詳細

今回の事件で誤ってダウンロードされた情報は、2024年度健康診断（定期健診・深夜業健診）の予約対象者11,704名分の以下の項目でした：

氏名
性別
生年月日
社員番号
保険証記号・番号
各種健診対象フラグ
健保資格情報
予約ID
健診予約確定日
健診受診医療機関名・ID
健診受診日
受診した健診コース名

これらの情報には、個人を特定できる重要な情報が多数含まれており、適切に管理されていれば外部に流出することはなかった機密性の高いデータです。

フォレンジック調査から見える問題点

私たちCSIRTが類似の事案を調査する際、今回のような設定ミスによる情報漏えいでは以下のような問題点が浮かび上がることが多々あります：

1. アクセス制御の不備

健康診断予約管理システムにおいて、グループ会社間でのアクセス権限が適切に設定されていませんでした。本来であれば、各社の従業員情報は厳格に分離されるべきです。

2. 操作ログの監視体制不足

データのダウンロード操作が即座に検知されず、後日のログ調査で発覚したことから、リアルタイムでの異常操作検知システムが機能していなかったことが伺えます。

3. 業務フローの脆弱性

アカウント作成時の誤操作が原因とされていますが、これは人的ミスを前提とした堅牢な業務フローが構築されていなかったことを示しています。

個人・中小企業が学ぶべき教訓

この事件から、個人や中小企業が学ぶべき重要な教訓があります。大企業でさえこのような事態が発生する以上、リソースが限られた組織ではより一層の注意が必要です。

個人ができる対策

個人レベルでは、自分の個人情報がどこでどのように管理されているかを把握することが重要です。また、アンチウイルスソフトを導入することで、万が一情報が漏えいした際に悪用されるリスクを軽減できます。

特に健康診断データのような機微な情報は、適切に暗号化されたデバイスで管理し、VPN を使用してセキュアな通信環境を確保することをお勧めします。

中小企業が取るべき対策

中小企業においては、以下の対策が急務です：

アクセス制御の徹底：従業員の役職や業務に応じた適切なアクセス権限を設定し、定期的に見直しを行う

ログ監視の実装：システムへのアクセスログを常時監視し、異常な操作を即座に検知できる体制を構築

定期的な脆弱性診断：Webサイト脆弱性診断サービスを活用し、システムの脆弱性を定期的にチェック

従業員教育の強化：情報セキュリティに関する定期的な研修を実施し、人的ミスを最小限に抑制

今後の対策と業界への影響

パーソルクロステクノロジーでは、委託先B社においてシステムの改修および業務プロセス全体の総点検を実施予定としています。また、委託先の管理監督を徹底するとのことです。

この事件は、健康管理システムを扱う業界全体に大きな影響を与えると予想されます。特に以下の点で業界標準の見直しが必要になるでしょう：

グループ会社間でのデータ共有プロトコルの標準化
健康情報取扱事業者の認定制度強化
リアルタイム監視システムの導入義務化

まとめ：予防は治療に勝る

今回のパーソルクロステクノロジーの事例は、どんなに大きな企業でも情報漏えいのリスクから逃れることはできないことを示しています。重要なのは、事故が発生してから対応するのではなく、事前に適切な対策を講じることです。

個人の方はアンチウイルスソフトやVPN の導入を、企業の方はWebサイト脆弱性診断サービスによる定期的なセキュリティチェックを強くお勧めします。

情報セキュリティは一度の投資で永続的な効果を得られるものではありません。継続的な改善と投資により、大切な情報資産を守り続けることが重要です。