マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた

WelcomeHRのイメージ（公式サイトから引用）

　カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区）は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。

　ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。

　正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDFや画像ファイルと、それらに含まれる氏名、住所、生年月日、性別、電話番号などの情報15万8929人の情報が、クラウドストレージのアクセス権限の誤設定によって外部から閲覧可能な状況になっており、漏えいしたと改めた。

　このうち15万445人のデータが第三者にダウンロードされた。4万6329人はマイナンバー情報が、8073人はクレジットカード情報やデビットカード情報が、2707人は健康診断や障害の情報が漏えいしたという。漏えいしたデータの不正利用・二次利用は確認していないとしている。

　漏えいの原因である、クラウドストレージの設定ミスについても触れた。「ファイルは誰でも閲覧可能なオープンな状態にあったわけではなく、意図的に特定の操作を行うことで各ファイルを閲覧し、さらにダウンロードも可能な状態にあった」（ワークスタイルテック）という。

　ワークスタイルテックは3月29日に、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザー情報が外部から閲覧可能な状態になっていたと発表。5月17日に、カオナビが決算説明会で明かしたところによると、今回の事態により6社がワークスタイルテックのサービスを解約したという。