個人情報がホームページ(HP)から閲覧可能になる事故が相次いでいる。代表的なパターンとしては、(1) セッション管理の不備により他人の登録情報が表示される状態だった、(2) 外部から見えないはずのファイルがアクセス制限のミスにより誰でも見られる状態だった、(3) 塗りつぶしたはずの個人情報が操作次第で見えてしまう状態だった、という3パターンが挙げられる。
以下、今年7月以降に公表された9件についてまとめた。
■愛知県建築士事務所協会名古屋支部、HPで個人情報671件が閲覧可能に
名古屋市から委託を受けて同市民間木造住宅耐震診断業務を行っている愛知県建築士事務所協会名古屋支部(名古屋市中区)は10月13日、2009年4月1日から同年12月4日までに耐震診断を受け付けた671件について、申込者の住所、氏名等がインターネット上に流出したと発表した。同支部では、2009年12月10日から今月12日までの間、同業務完了報告書の受理状況を示すリストをHPに掲載。同リストには診断申込者の個人情報も含まれており、HPにはこれを非表示にして掲載していたが、パソコン上の操作によって表示が可能となっていた。
・お詫び(愛知県建築士事務所協会名古屋支部)
http://www.ajknagoya.com/
■モビリティランド、通販サイトで顧客の個人情報が閲覧可能に
モータースポーツ施設の鈴鹿サーキットランドとツインリンクもてぎを運営するモビリティランド(本社:三重県鈴鹿市)は9月28日、同社のオンラインショッピングサイト「MOBILITY STATION」において、顧客の購入履歴が他の顧客から閲覧できる状態だったと発表した。該当者は61名。同社によると、閲覧可能だったのは顧客のメールアドレス、購入履歴と、顧客および商品届け先の住所、氏名、電話番号。会員メニューの購入履歴照会画面で自分の購入履歴を照会後、URLに任意の申し込み番号を入れ込むと、他顧客の情報が閲覧できる状態となっていた。
・お客様情報の取扱いに関するお詫びとご報告(モビリティランド)
http://www.mobilityland.co.jp/onlineshop/20100928/
■福井大学、卒業生774名の個人情報がHPで閲覧可能に
福井大学(福井県福井市)は9月28日、工学部生物応用化学科の1998~2009年度の卒業生774名について、卒業年、氏名、自宅住所と電話番号がインターネット上で閲覧可能な状態になっていたと発表した。同大学によると、OB会開催の準備をしていた同学科の担当職員が、関係者のリストアップ作業を学生に依頼するために9月10日、HP上に卒業生のデータを掲載。この際、外部からは分からないようにしたはずだったが、9月26日に匿名の通報があり、外部から閲覧可能であることが発覚した。
・本学卒業生に係る個人情報の流出について[PDF](福井大学)
http://www.u-fukui.ac.jp/news_release/2010/09.28.pdf
■Yahoo!モバゲー、β版で他利用者の情報が閲覧可能に
ヤフー(本社:東京都港区)とディー・エヌ・エー(本社:東京都渋谷区)は9月24日、試験提供中だった「Yahoo!モバゲーβ版」において、9月22日午後0時50分から9月23日午後9時30分の間、一部顧客のモバゲーIDに紐づくページが他の利用者から閲覧可能な状態となり、性別、地域など一部登録情報の閲覧や、その他の利用が可能な状態だったと発表した。該当者は10名。発表によると、ID登録処理時における誤った設定により、一部のユーザーが携帯電話機からモバイル版モバゲータウン上で会員登録を行った際、上記の状態となっていた。
・「Yahoo!モバゲーβ版」での障害に関するお詫び(ディー・エヌ・エー)
http://blog.dena.ne.jp/press/archives/2010/09/yahoo.html
・「Yahoo!モバゲーβ版」での障害に関するお詫び(ヤフー)
http://pr.yahoo.co.jp/release/2010/0924a.html
■ジェイアイエヌ、オンラインショップで顧客の登録情報が閲覧可能に
眼鏡等を販売するジェイアイエヌ(東京本社:東京都港区)は9月14日、同社が運営するオンラインショップ「JINS ONLINE SHOP」において、9月1日午前1時頃~9月2日午後10時頃までの間、特定の操作を行うと会員やメールマガジン会員の登録情報が第三者から閲覧できる状態になっていたと発表した。同ショップは新システムを使用して9月1日にリニューアルオープンしたが、同システムに不具合が生じたため調査を行ったところ、上記事態が判明した。発表の時点では個人情報の流出は確認されておらず、実際に流出があったかどうか調査を継続中だという。
・個人情報流出の可能性についてのお知らせとお詫び[PDF](ジェイアイエヌ)
http://eir.eol.co.jp/EIRNavi/View.aspx?cat=tdnet&sid=828777&code=3046#xml=http://eir.eol.co.jp:80/EIRNavi/DocumentNavigator/View/Pdf
■一休、携帯サイトで他人の予約情報が閲覧可能に
ホテル・旅館の予約サイト「一休.com」を運営する一休(本社:東京都港区)は7月28日、7月7日午前0時から12日午後5時30分までの間、一休.com携帯サイトで他の顧客の氏名、住所、電話番号、メールアドレスを含む予約情報が閲覧可能となっていたと発表した。該当者は122名。NTTドコモの「iMENU」で検索を行い、検索結果から一休.comにログインして予約関連の操作を行った場合、アクセス後30分以内にiメニューサイト検索結果を経由して「Myページ」にアクセスした他の顧客から情報が閲覧可能となっていた。
・お客様情報の取扱いに関するお詫びとご報告[PDF](一休)
http://www.c-direct.ne.jp/public/japanese/uj/pdf/10102450/20100728187820.pdf
■オーガスタファミリークラブ、他の顧客情報が閲覧可能に
音楽制作プロダクション オフィスオーガスタ(東京都渋谷区)が運営する通販サイト「オーガスタファミリークラブ」は7月21日、通販システムの不具合により、7月9日午後9時~翌午前0時、または7月10日午後4時~7月11日正午までに同サイトへ携帯電話でアクセスして注文情報確認画面表示を行った顧客の一部について、住所、氏名、電話番号、メールアドレス、クレジットカード情報が他の顧客から閲覧可能になっていたと発表した。同社によると、アクセス中の顧客を識別する管理情報が正常に発行されないケースがあり、別の顧客の個人情報が携帯電話の画面に一時表示される状態となっていた。
・【オーガスタファミリークラブ】個人情報流出のご報告とお詫び(オーガスタファミリークラブ)
https://www.augfc.net/webshop/apologize.html
■宮崎大学、学生情報がHPで閲覧可能に
宮崎大学(宮崎県宮崎市)は7月16日、学生の氏名、学籍番号等の個人情報がインターネット上に流出していたと発表した。同大学によると、同大工学部の教員が作成、管理しているHPの一部に、当該教員が学生への連絡、周知用として使用している部分があったが、そのエリアが適切に管理されていなかったため、掲載されていた情報が外部から閲覧可能となっていた。
・本学教員による不適切な情報管理について[PDF](お詫び)
http://www.miyazaki-u.ac.jp/news/2010/0716.pdf
■徳島大学、学生の名簿などがHPで閲覧可能に
徳島大学(徳島県徳島市)は7月7日、2002年度から2009年度までに在籍した学生817名の氏名、学籍番号や退学、休学、留年状況に関する情報などが、HP上で外部から閲覧できる状態になっていたと発表した。同大によると、総合科学部の教員が2006年4月から、学部内委員会を運営するための資料として収集した同学部学生の個人情報を、学部が管理するサーバーの外部から閲覧可能な部分に保存していた。
・不適切な個人情報管理について(お詫び)(徳島大学)
http://www.tokushima-u.ac.jp/article/0018504.html
(2010/10/15 ネットセキュリティニュース)