2022年10月26日 / 最終更新日 : 2022年11月17日 dataclasys インシデント

JTB、観光事業者の個人情報最大1万件超を漏洩 クラウドサービスへのアクセス権限の誤設定により

2022年10月25日、株式会社JTBおよび観光庁はウェブサイトにて、JTBが管理・運用するクラウドサービスにおけるアクセス権限の誤設定により、事業者の個人情報最大11,483人分を含むデータが漏洩したことを明らかにしました。漏洩した情報は事業者同士でしか閲覧できず、またJTBはファイルをダウンロードした事業者に対し情報の削除を依頼し、現在では全件削除済みとのことです。JTBは再発防止策として、アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化をはかるとしています。※1 ※2

事件の概要

JTBは観光庁による「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を補助事業者として実施しています。この業務に関わる観光庁や間接補助事業者(本事業への応募、申請等を行う事業者)と情報共有するためクラウドサービスを管理・運用しているのですが、格納データへの事業者ごとの個別アクセス権の設定をミスし、ログイン権限を持つ間接補助事業者が相互にデータを閲覧・ダウンロード可能な状態で保管されていました。クラウドサービスで管理されていたのは事業に採択された約700の事業者の情報でしたが、全事業者がアクセス可能な状態だったとのことです。※3

アクセス記録を解析したところ、ファイルは18件の間接補助事業者によってダウンロードされたことがわかりました。ダウンロードされたデータは、1,689件の申請書類等で、最大11,483人分の個人情報(組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレス等)が含まれていました。JTBは前述の事業者に対し当該情報の削除を依頼し、25日までに全件削除済みとのことです。また、これらの個人情報が間接補助事業者以外に漏洩した可能性はなく、クラウドサービスについても、厳重に総点検を実施し、アクセス権限を適切に設定したとしています。今後、JTBは再発防止策としてアクセス権限設定のチェック体制ならびに事業管理体制の徹底強化をはかるということです。

なお、観光庁によると、申請した事業者の個人情報がダウンロード可能な状態にあったのは5月24日~26日の間で、JTBはこの時点で事業者から指摘を受けていましたが、対象ファイルのみのアクセス権限修正対応を行っていました。その後、9月29日までに個人情報が含まれていない書類等も3回流出し、計18回のダウンロードが確認されました。JTBがこれらの漏洩について観光庁に報告したのは、10月6日のことでした。※3

クラウドサービスにおけるアクセス権限の設定ミスによる情報漏洩を防ぐには

クラウドサービスの設定ミスによる情報漏洩事件は増加しており、クラウド利用におけるリスクとして対策必須の問題となっています。総務省は今年7月25日、クラウドサービスの設定ミスがもたらすリスクやその対策などをまとめたガイドラインの素案を公開しています。※4
なお、正式なガイドラインは2022年秋に策定・公開予定です。(10月26日時点)

近年、クラウドサービスは標準機能としてアクセス権限の設定や暗号化が可能です。そのため、クラウド内に保存した方が自社管理のファイルサーバよりも安全ではないか考える企業も増えています。しかし、今回の事件のような設定ミスによる漏洩は防ぎようがなく、また基本的にクラウドサービスの機能によるアクセス制御はクラウド内に保存されている情報のみに有効であり、一度外部へダウンロードした後のファイルの二次漏洩は防ぐことができないという落とし穴もあります。

クラウドサービスを安全に利用するためには、やはり機微なデータに関しては暗号化して保管することが最良の方法です。『政府情報システムにおけるクラウドサービスの利用に係る基本方針』※5 には、格納する機微データを暗号化することを前提に、「データの暗号化に使用する鍵については、クラウドサービス提供者側よりも利用者側で管理することが望ましく、選択可能な場合は利用者側で鍵管理が可能な暗号機能を選ぶものとする。」と記載されています。このように、特に政府機関においてはクラウドサービス事業者を全面的に信頼するのではなく、自組織の管理するシステムで暗号化し、事業者からもファイルアクセスできないようにしておく必要があるのですが、これは民間企業でも見習うべきポイントです。

設定ミスによる情報漏洩のリスクを低減できるソリューションとして、弊社はファイル暗号化ソフト『DataClasys』をご提供しています。DataClasysの暗号化はすべて一律の権限ではなく、特定の企業にしか閲覧できないような設定で暗号化を行うことができます。クラウドへアップロードする前にデータを暗号化しておけば、設定ミスやアップロード先のミスだけでなく、クラウドサービスへの不正アクセス、内部犯による持ち出しなどについても広く対策することが可能です。また、ダウンロード後のファイルが二次漏洩してしまう可能性もなくなります。

クラウドストレージからの漏洩への対策をご検討の方は、是非DataClasysをご検討ください。

あわせて読む

参考

※1 情報漏洩に関するお詫びとお知らせ | 株式会社JTB 2022年10月25日

※2 株式会社JTBが管理・運用する情報共有ツールにおけるアクセス権限の誤設定による個人情報等の漏洩について | 観光庁 2022年10月25日

※3 JTB、事業者の1万人超の個人情報を流出 観光庁の事業で | 朝日新聞デジタル 2022年10月25日

※4 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集 | 総務省 2022年7月25日

※5 政府情報システムにおけるクラウドサービスの利用に係る基本方針 | 2021年9月10日(改訂)

コラムカテゴリー
インシデント
インシデント

前の記事

中国サイトに大手企業の機密文書が公開 サイバー攻撃だけでなく内部不正にも危機感を
2022年10月11日
セキュリティ

次の記事

2022年上半期のランサムウェア攻撃の傾向と対策まとめ
2022年11月1日