背景
「松江開府400年記念名刺」の販売について、松江開府400年祭推進協議会より、社会福祉法人ふらっとの運営するピー・ター・パン(以降PTP)に依頼があり、弊社も400年祭へ協力をしたいと考えていたことより、販売を弊社の事業として取り組むこととしました。
発売当初(平成19年7月)は、カタログからのFAXおよびTELでの受注体制でしたが、2007年9月初旬にPTPのWebサイト上でオンライン注文フォームを立ち上げ、追って推進協議会サイトでもPTPのサイトにリンクを貼り、ネット受注を開始しました。なお、プログラムやデータはすべてPTPの所有するサーバに格納されており、ネット上の運営全般をPTPが担っていました。
- 発覚の経緯
平成20年5月30日深夜、オンライン注文をいただいていたお客様より、ネット上で検索をしていたところ、「自分の氏名で検索したら名刺の注文内容が表示されている」とのご指摘が、松江市役所にありました。
- 影響範囲
運用開始から平成20年5月30日までにオンライン注文されたお客様の個人情報データベース(以降DB)がネットで閲覧出来る状態にありました。誤公開された内容は、名刺を発注する際に入力した項目であり、のべ57件53名分の所属先、役職、氏名、TEL・FAX・携帯番号、メールアドレス、郵便番号、住所、注文内容、備考欄に入力された情報でした。
- 誤公開の原因
運用開始の際、注文者の情報をサーバ上で蓄えるためのデータベースファイルにアクセス権を設定しなかったため、ネット検索の際にヒットして全データが表示されてしまう事態が生じました。
- 対応策
平成20年5月31日朝に弊社担当者が連絡を受け、調査したところアクセス権の未設定に気付き、同日9:40頃にアクセス権を設定。これによりデータベースは保護され、ネット上からはデータの閲覧ができなくなりました。
なお、今後、万全の体制を検討することとし、それまでの期間は、インターネット注文は停止いたします。
※TEL・FAXによる注文は継続して受け付けます。
上記内容は平成20年6月3日に記者発表いたしました。 |