「Find Job!」アクセス権限を持たない外部が求職者のWeb履歴書情報を閲覧できる状態に

株式会社ミクシィ・リクルートメント(本社:東京都渋谷区、代表取締役社長:鈴木 貴史)が提供する求人情報サイト「Find Job!」にて、アクセス権限の設定不備により、2017年5月12日(金)から12月25日(月)の間、特定条件を満たすことで、アクセス権限を持たない外部から一部の求職者のWeb履歴書情報を閲覧できる状態にあったことが判明いたとして自社サイトで発表しました。

現在は12月25日(月)よりアクセス設定を修正し、安全な状態で運用しているとのことです。

【経緯】

2017年12月23日(土)に「Find Job!」を利用中のユーザーより連絡が入り、本件を認識し調査を開始。

調査の結果、2017年5月12日(金)に掲載企業の管理画面の機能追加を実施した際に、アクセス設定に不備があり、本来アクセス権限のない外部から、求職者の履歴書を参照できるURLをそのまま打ち込んだ場合に、求職者のWeb履歴書が閲覧できる状態にあったとのこと。調査後直ちに正しいアクセス設定を行い、12月25日(月)12時50分に対処を完了したとのことです。
また、本件判明後直ちに該当する求職者の調査を行い、対象となる求職者には12月27日(水)に個別にご報告とお詫びのご連絡を実施。なお、対象者の調査は2018年1月5日(金)に完了しているとのことです。

【アクセスされる可能性があった求職者情報及び人数】

求職者の履歴書情報には、氏名、生年月日、性別、現住所、電話番号、メールアドレス、最終学歴(学校名、学部、卒業年)、その他求職者が任意で登録した情報が含まれる。アクセスされる可能性のあった求職者の人数は491名。

【本件についてのお問い合わせ先】
株式会社ミクシィ・リクルートメント
info@find-job.net

Webサイトからの情報漏洩としてはWebサイトの脆弱性を突いた攻撃と、このようなWebサイト運営管理に不具合があり、意図しない情報の公開をしてしまうタイプがあります。前者はCMSなどソリューションを提供するベンダー側の責任と、脆弱性情報が出ているのにバージョンアップなどを怠ったWebサイト管理者に責任を切り分けることができますが、Webサイトの運営管理でアクセス設定のミスなどは人的なケアレスミスです。たとえ、故意に起こした事故ではなくとも被害者から損害賠償などを起こされる可能性もあります。特に個人情報(今回は求職者の個人情報ということでかなりセンシティブな情報です)を扱う場合は大げさなくらいにチェックを何重にも行い、事故を防ぐ姿勢が大切です。

詳細;株式会社ミクシィ・リクルートメント

<