マイナカード画像など15万人分情報漏えいの労務クラウド、流出発表後に6社がサービス解約 ARRの5％強

WelcomeHRのイメージ（公式サイトから引用）

　3月に15万4650人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区、以下WST）について、インシデントの発表後、6社が同社の労務管理クラウドサービスを解約していたことが分かった。親会社のカオナビが5月13日の決算説明会で明かした。

　カオナビが17日に公開した決算説明の書き起こしによれば「WST社は、直販と代理店とOEMの、3つの販路でサービスを提供しており、3月末時点で約370社のお客さまを抱えています。今回のインシデントは、直販の顧客を管理するサーバで発生し、この直販には約50社のお客さまがいらっしゃいます。そして、情報漏えいを理由に、本日までに解約を申し入れてこられたお客さまは6社となっています。金額に換算すると、この6社の解約ARR（注：年次経常収益）はWST社全体のARRの5％強に相当します」（カオナビ橋本公隆CFO）という。

　カオナビは2023年12月にWSTの子会社化を発表したばかりだった。今回のインシデントは、カオナビがWSTのセキュリティ調査を行う過程で発覚したものという。カオナビによれば、情報が漏えいした可能性がある顧客には個別に通知済み。3月29日の時点で個人情報保護委員会への一次報告も済ませた。今後は5月末をめどに、再発防止策を含め個情委に最終報告するという。

　WSTは3月29日、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザー情報が外部から閲覧可能な状態になっていたと発表。16万2830人分の情報が閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたという。閲覧可能だった情報の中には、氏名や住所などの個人情報に加え、マイナンバーカードや運転免許証などの画像も含まれていた。