2015年発生、リクルートキャリアによる個人情報約3万7千件誤送信事件|サイバーセキュリティ.com

2015年発生、リクルートキャリアによる個人情報約3万7千件誤送信事件



画像:CAREER CARVER(現在は株式会社リクルート)より

大手転職サイトのリクルートキャリアが、2015年12月に起こした情報漏えい事件。同社が運営する会員制のハイクラス転職サイト「CAREER CARVER(キャリアカーバー)」の個人情報約3万7,000件を、業務委託契約を結ぶ外部企業宛のメールに添付、誤送信したというものです。

今回は、この事件についてまとめます。

事件の概要

経緯に関しては下記の通りです。

2015年12月1日 リクルートキャリアより業務委託先の企業宛に、今回の事件の引き金となった個人情報を送信。担当者は送信直後にミスに気が付き報告。同社は直ちに委託先企業と連携を取って情報の削除に動く。
2015年12月2日 業務委託先企業がリクルートキャリアのスタッフ立ち合いの下で当該データを消去。同時に委託先企業のスタッフが持つ端末内のデータ消去も実施。
2015年12月3日 リクルートキャリアが漏洩被害者に対して、事件の経緯と対応をメールで報告、謝罪。

流出した情報

CAREER CARVERに登録した個人情報約3万7,000件。氏名や住所、年齢問うの基本的な情報から、現在の就職先や年収、希望の業界や業種等、採用に関わる全ての要件が流出しています。

ただし、委託先企業から外部に流出した形跡はなく、被害も発生していないため、登録顧客に精神的負担以外のデメリットはなかったようです。

具体的には以下の通り。

  • 氏名・生年月日・性別
  • 都道府県名
  • 会員番号
  • 直近の年収・直近の業種・直近の職種・直近の企業名・直近の部署名・役職・直近の在籍期間、
  • 過去の業種・過去の職種・過去の企業名・過去の部署名
  • 役職・過去の在籍期間
  • 学校種別・学校名・学部・学科・卒業年月
  • 英語レベル・英語資格の点数
  • 資格
  • 希望の業種・希望の職種・希望の勤務地の各情報等

リクルートキャリアが約3万7000件の個人情報を誤送信/@ITより引用

事件が起こった原因

リクルートキャリアの情報漏洩事件は、内部スタッフによるメールの誤送信が原因です。言わば、ヒューマンエラー(人的要因によるミス)によるものと言えるでしょう。人間は機械ではありませんから、今回のようなヒューマンエラーを完全に取り除くのは難しく、企業としては受忍すべき漏洩事件だったと言えます。

ただし、誤送信されたデータが、個人情報を隠すために必要な処置を講じていないものである点は、大きな問題です。

事件後の対策

経緯で述べたように、リクルートは事件発生直後に事態を察知しており、直ちに流出先に連絡、連携を取りました。

具体的には、リクルートキャリアのスタッフが立ち会った上で、誤送信した委託先企業に記録されたサーバ上のデータを削除。併せてメールを受け取るに至った、外部委託先企業の従業員用端末のデータ消去も実施しています。

また、リクルートキャリアは事件発生から2日後に対して情報漏洩の経緯と謝罪を実施しており、対応としては素早いものと評価できます。

なお、リクルートキャリア広報部によると、「重大に受け止め、再発防止に取り組む」と発表しており、社内研修等の対策が取られたものと考えることができるでしょう。

まとめ

今回の事件は人的トラブルによるものなので、まず取るべき対策は、個人情報の取扱いに関するプロセスを可能な範囲で見直すことだと言えます。

人間はミスをする生き物ですから、「ただ気をつけろ」と言っても、今回のような事件を完全に避けることはできません。

したがって、個人情報を取り扱う人物を社内でも限られた担当者に限定した上で、扱うべき情報の範囲も必要最小限に止めるべきだと考えられます。

不要な個人情報が流出しないよう、情報加工を徹底すべき

また、今回の事件では個人情報をリスト化したExcelファイルが、そのままの形式で送信されてしまったことも問題です。

通常、この手の個人情報は送信前に不要な部分を加工して、外部に流出した時のリスクに備えることが基本です。今回の事件において、誤送信そのものが避けられないと仮定しても、情報の加工さえ怠っていなければ、被害を最小限に抑えることができたでしょう。

この点に関しては、個人情報の取扱いに関して社内研修などを実施し周知を図る一方、複数のスタッフによる重複チェックを実施するなど、情報管理体制の見直しを検討すべきだと考えます。

リクルートキャリアの顧客対応はかなり素早いと評価

最後に事件発生後の顧客対応に視点を移してみると、リクルートキャリアは事件発生より僅か2日後には、登録者宛にメールで流出事件を報告しており、対応としてはかなり素早いものだったと言えます。

過去の事件を振り返っても、公表が遅れれば遅れるほど、その後の顧客満足に大きな影響を与えることが明らかです。リクルートキャリアはその点を十分に把握して、対応スピードを速めたものと見るべきでしょう。

転職サイトや就職サイトにおいて、個人情報の流出は致命的とも言える被害をもたらします。登録顧客の転職採用が内定する前に、現在の就職先に情報が伝達した場合、登録顧客に甚大な被害を与えることは疑いようがないからです。

その意味で、今回のリクルートキャリアの事件は、良いモデルケースとして注意すべき事案です。


SNSでもご購読できます。