マイナカードに免許、パスポート…16万人以上の個人データ「外部から閲覧可能」でダウンロード被害も
HR(人材・労務管理)ソフトウェアの企画・開発・サービス提供を展開する「ワークスタイルテック株式会社」(東京都港区)が、同社が運営している労務管理ソフト「WelcomeHR」から「顧客の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明した」と、3月29日にWeb上で明らかにした。
「同社によると『サーバーのアクセス権限の誤設定により、閲覧可能な状態となっていた』そうです。閲覧が可能であった期間は2020年1月5日から2024年3月22日、ダウンロードが確認された期間は2023年12月28日から2023年12月29日です。また閲覧可能、漏洩が疑われる個人データの項目は『氏名、性別、住所、電話番号、顧客がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポートなど)、履歴書などの画像』ということです。その数は16万人以上で、第三者によりダウンロードが確認されたものは15万人以上です」(WEBライター)というから被害は甚大だ。
つい先日の3月8日には、札幌市厚別区で、マイナンバーカード情報を悪用した特殊詐欺事件が起きたばかりだ。
「70歳代の女性が、マイナンバーカードの情報などをもとに、女性名義のインターネットバンキング口座を無断で開設され、約1400万円をだまし取られました。
1月中旬、女性の自宅に『総合通信局』の職員や警察官を名乗る人物から『あなたの口座情報が流出している』と電話があったそうです。その人物は、女性にスマートフォンの機種変更を指示し、その後、スマホのビデオ通話機能で女性の顔やマイナンバーカードを示すように命令したということです」(週刊誌記者)
その後、「あなたの口座が凍結される」と、無断で開設した女性名義のネットバンク口座に預金を移し替えるように指示、女性はふたつの金融機関から現金を振り込んだという。
女性も金融機関の職員も、振込先の口座が本人の名義だったことから、詐欺を疑わなかったそうだ。
「ワークスタイルテック」社に、今回のデータ漏えいによる被害が判明しているのか、補償体制などはどうなっているのかをメールで問い合わせたが、4月2日15時までに回答はなかった。回答が届き次第、追記する。