セキュリティ

SECURITY

公開：2024-09-19

パーソルキャリア、「doda」システムの不備で約55万人分の個人情報が閲覧可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• パーソルキャリアが「doda」システムの不備を公表
• 約55万人の採用担当者の個人情報が閲覧可能に
• システム改修済みで影響拡大の可能性なし

パーソルキャリアが「doda」システムの個人情報漏洩を公表

パーソルキャリアは2024年9月17日、同社が運営する転職サービス「doda」の求人広告販売代理店向けシステムに不備があり、法人顧客の採用担当者の個人情報が代理店から閲覧可能になっていたことを公表した。影響を受けた個人情報は約54.9万人分で、会社名や氏名、メールアドレスなどの名刺情報に準ずる情報が含まれている。^[1]

この不備は2018年5月31日から2024年8月30日まで続いており、1,164社の代理店が個人情報にアクセス可能な状態だった。パーソルキャリアは現在、システムの改修を完了し、個人情報の閲覧を不可能にしている。また、影響を受けた個人に対して連絡を開始しており、今後の影響拡大の可能性はないとしている。

本事象の発覚は、ある法人顧客の採用担当者が取引のない代理店から営業を受け、情報入手経路を尋ねたことがきっかけとなった。パーソルキャリアは再発防止策として、システム開発時の仕様検討やプライバシーへの影響を事前に審査する仕組みを強化すると表明している。今回の事態を受け、情報セキュリティ対策の重要性が改めて浮き彫りになった。

個人情報漏洩事案の詳細

サーバサイドリクエストフォージェリについて

サーバサイドリクエストフォージェリ（SSRF）とは、攻撃者が標的のサーバーを操作して、本来アクセスできないはずの内部リソースや外部システムにリクエストを送信させる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 内部ネットワークへの不正アクセスを可能にする
• ファイアウォールをバイパスして機密情報にアクセスできる
• サーバーのリソースを消費させ、DoS攻撃につながる可能性がある

今回のパーソルキャリアの事例では、SSRFの脆弱性は直接言及されていないが、システムの不備によって本来アクセスできないはずの個人情報が閲覧可能になっていた点で、類似の問題が発生したと考えられる。システム開発時のセキュリティ設計や、定期的な脆弱性診断の重要性が改めて浮き彫りになった事例だと言える。

パーソルキャリアの個人情報漏洩事案に関する考察

パーソルキャリアの今回の事案は、長期間にわたって多数の個人情報が不適切に閲覧可能だった点で深刻だ。特に問題なのは、システム開発時の仕様検討やプライバシー影響の確認が不十分だった点で、これは多くの企業が陥りがちな落とし穴だろう。今後、同様の事態を防ぐためには、システム開発プロセスにおけるセキュリティレビューの強化と、定期的な脆弱性診断の実施が不可欠になるはずだ。

一方で、今回の事態が発覚したのは顧客からの指摘がきっかけだった点も注目に値する。これは、企業内部だけでなく、顧客を含めた広範囲なセキュリティ意識の向上が重要であることを示している。今後は、従業員教育に加えて、顧客や取引先も含めたセキュリティエコシステムの構築が求められるだろう。また、個人情報保護法の観点からも、適切な情報管理と迅速な対応が企業の信頼性を左右する重要な要素となることは間違いない。

この事案を受けて、他の企業も自社のシステムやプロセスを見直す良い機会となるはずだ。特に、長期間運用されているシステムや、複数の事業者が関わるサービスにおいては、定期的なセキュリティ監査と、アクセス権限の厳格な管理が重要になる。また、今回のような事態が発生した際の迅速な対応と透明性の高い情報開示も、企業の信頼回復には欠かせない要素となるだろう。

参考サイト

1. ^ パーソルキャリア. 「「doda」求人広告の販売代理店向けシステムにおける不備に関するお詫び | パーソルキャリア - PERSOL CAREER」. https://www.persol-career.co.jp/newsroom/news/information/2024/20240917_1592/, (参照 24-09-19).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧