100円ショップ大手のダイソーで重大な個人情報漏えい事故が発生
2024年6月18日、100円ショップで有名な「ダイソー」を運営する大創産業が、顧客や取引先など1万307件の個人情報が漏えいした可能性があると発表しました。この事故は、同社が利用していたGoogleグループの設定不備により、なんと5年以上もの長期間にわたって外部から個人情報が閲覧可能な状態となっていたものです。
漏えいした個人情報の詳細と影響範囲
今回の事故で外部から閲覧可能だった情報は以下の通りです:
- ECサイト利用者:4,498件(うち口座情報49件を含む)
- 取引先関係者:4,578件
- 中途採用応募者:698件(履歴書・職務経歴書615件を含む)
- 従業員情報:533件(健康保険証149件、要配慮個人情報4件を含む)
漏えいした情報には、氏名、住所、電話番号、メールアドレスなどの基本的な個人情報から、口座情報や健康保険証といった機密性の高い情報まで含まれていました。
事故の経緯と原因
問題となったのは、大創産業が管理していた57のGoogleグループです。これらのグループは本来、登録された関係者のみが閲覧できる設定にすべきでしたが、誤って外部からもアクセス可能な公開設定となっていました。
この設定ミスは2019年12月9日から続いており、外部からの指摘を受けて2024年4月26日に発覚するまで、実に5年4ヶ月もの間、誰でもこれらの個人情報にアクセスできる状態が続いていたのです。
企業が学ぶべきセキュリティ対策のポイント
今回の事故から、私たち個人も企業も学ぶべき重要なポイントがあります:
1. クラウドサービスの設定管理の重要性
Googleグループのような便利なクラウドサービスも、設定を誤れば重大なセキュリティリスクとなります。特に権限設定は慎重に行い、定期的な見直しが必要です。
2. 定期的なセキュリティ監査の実施
5年以上も問題が放置されていたということは、定期的なセキュリティチェックが不十分だったことを意味します。システムの設定状況を定期的に監査することが重要です。
3. 個人レベルでできる対策
企業の個人情報管理に完全に依存するのではなく、個人レベルでもセキュリティ対策を講じることが大切です。アンチウイルスソフト
を導入することで、マルウェアや不正アクセスから自分のデバイスを守ることができます。
また、オンラインでの個人情報のやり取りが気になる方は、VPN
を利用することで通信を暗号化し、より安全なインターネット利用が可能になります。
大創産業の対応と今後の対策
事故発覚後、大創産業は以下の対応を取りました:
- 4月26日中に全グループの公開設定を非公開に変更
- 社員による単独でのグループ作成を制限
- 新規グループ作成時の申請承認フローを導入
- 5月1日に個人情報保護委員会への報告を完了
- 対象顧客への個別連絡を実施
現時点では、この情報漏えいによる二次被害は確認されていないとのことですが、今後も同委員会の指導の下で対応を続けるとしています。
個人情報を守るために私たちができること
このような企業の個人情報漏えい事故は後を絶ちません。私たち個人レベルでできる対策として:
- 不要なサービスへの個人情報登録を避ける
- 定期的にパスワードを変更する
- 二段階認証を積極的に利用する
- 怪しいメールやサイトにアクセスしない
特に、インターネット利用時のセキュリティ強化は重要です。アンチウイルスソフト
でデバイスを保護し、VPN
で通信を暗号化することで、個人情報の漏えいリスクを大幅に減らすことができます。
まとめ
今回のダイソーの個人情報漏えい事故は、身近な企業でも重大なセキュリティ事故が起こりうることを改めて示しています。企業側の対策強化はもちろん重要ですが、私たち個人も自分の情報を守るための対策を講じることが不可欠です。
デジタル時代の今、個人情報の保護は企業任せにせず、個人レベルでも積極的にセキュリティ対策を行うことが求められています。
