総務

2022/10/04

【お知らせ】個人情報流出の可能性についてのお詫びとお知らせ

※PDFでご覧になる方はこちらをご確認ください

拝啓 平素別格のお引き立てを賜り、厚く御礼申し上げます。

この度、当連盟が会員情報の管理を委託しているしゅくみねっと株式会社(〒153-0064 東京都目黒区下目黒2丁目19番6号 FTビル3階。以下「しゅくみねっと社」といいます。)が提供する会員管理システム(以下「本システム」といいます。)の管理者向け検索機能の不具合により、特定の条件下において、当連盟が管轄する各団体又は連盟が、自らの管理下にない会員の情報を閲覧できてしまう事象が発覚しました。

このような事態を招いたことを深くお詫び申し上げますとともに、本不具合は発覚後ただちに修正が完了していること、及び、現時点において本件に関わる個人情報の当連盟管轄外の組織への流出は確認されていないことをご報告させていただきます。

ご利用の会員の皆さまをはじめ、関係者の皆さまには、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

つきましては、本事象につきまして、下記のとおりご報告させていただきます。

敬具

1. 発生事象と漏えいしたおそれのある個人データの項目

本システム内の各管理団体(加盟団体、地域連盟、クラブ)の管理者向け画面に設けられた「会員管理」機能において、日付 けを用いた検索を実施する際、ポップアップ表示されるカレンダーで選択できる「yyyy/mm/dd」以外の値を入力して検索すると、全ての会員情報(110,807件(退会者含む)が閲覧できる状態となっていた。また、同画面のCSVファイルによるダウンロード機能を利用することで、一部の会員データがダウンロードできる状態となっていた。

これにより、漏えいしたおそれのある個人データの項目は以下のとおりです。
なお、クレジットカード情報等の信用情報は含まれておりません。

【一覧画面の表示項目】
会員番号/氏名/所属組織(所属地域連盟/所属クラブ・団体)/会員区分/会員状況
※一覧画面表示対象者には、個別での案内を順次通知させていただいております。
【CSVファイルの表示項目】
氏名/生年月日/性別/郵便番号/住所/電話番号/メールアドレス/所属加盟団体・地域連盟・所属クラブ・団体/会員状況/会員番号/登録競技名

2. 調査状況

本システムがリリースされた2019年8月1日から2022年9月7日までの間のシステムログを調査し、過去に同様の条件で検索/CSV ダウンロードを行ったことのある管理者を特定する調査を実施した結果、以下の事実が判明しました。

  • 同様の検索条件で検索をしていた管理者: 2団体の管理者
  • 検索後にCSVダウンロードを行っていた管理者: 1団体の管理者
  • ※CSVダウンロードファイル内の会員情報は223件であったことを確認しております。

上記3団体の管理者には直接事実関係を確認・調査し、閲覧したデータやダウンロードしたファイルを現在まで保管し、又は外部へ提供・流出していない旨を確認しています。

3. 発生原因と再発防止策

本システム内の会員検索機能における検索条件の入力値にエラーがあった場合、本来であれば管理配下の会員のみを表示対象としたうえでエラーメッセージを出すという処理をすべきであったにもかかわらず、本システムのプログラムに誤りがあり、無条件での検索を行う旨のプログラムが設定されてしまっていた。

本事案の発覚後、入力値にエラーが発生した場合、管理配下の会員のみを表示対象とする修正を講じ、また全画面において同様の事象が発生する可能性がないかの再チェックを実施しています。

4. 二次被害又はそのおそれの有無及びその内容

現時点では、二次被害及び有無は確認できていません。

5. 本件に関するお問い合わせ窓口

本件に関し、ご不明な点や会員情報を不正に利用した可能性のある不審な連絡がございましたら、大変お手数をお掛けいたしますが、下記宛にご連絡いただきますようお願い申し上げます。

●お問い合わせ先(専用窓口)
support-saj@shikuminet.jp
※お問い合わせには順次回答させていただきます。

以上