デジタル庁認証サービスで個人情報漏洩 バグが原因
デジタル庁は、事業者向け共通認証サービス「gBizID(GビズID)」に不具合があり、利用者の個人情報の漏洩があったと3月30日に発表した。事業者が同サービスで自社の利用者情報を取得する際に、プログラムのバグが原因で他社の利用者情報も取得できた。現在は利用者情報を取得する機能を停止している。
GビズIDは事業者などが国に行政サービスの電子申請などをする際に利用する共通認証サービスである。企業の代表者の「プライム」アカウントに従業員の「メンバー」アカウントをひもづけることができ、代表者のアカウントでログイン後に、「メンバー」の利用者情報をテキスト形式のCSVファイルで出力する機能がある。
3月28日午後3時ごろ、この機能を使って自社の利用者情報を取得しようとしたA社から、他社の利用者情報を取得できたとの報告が同サービスの運用企業に対しあった。
A社が取得したのはX社の「メンバー」アカウント31人のメールアドレス、氏名、勤務先住所、電話番号、生年月日などである。同日夜に運用企業からデジタル庁に報告があり、同機能を一時的に停止したうえで、原因などを調査した。
3月30日午前までに、同機能で自社の「メンバー」の利用者情報を出力する際に、操作画面から特定の操作をすると、他社の「メンバー」の利用者情報を取得できることが判明。過去の利用履歴から、3月下旬に同様の操作をしたB社に確認したところ、他のY社の「メンバー」231人の個人情報を取得したことを確認した。
同機能は2020年3月より稼働しているが、デジタル庁によると調査の結果これまで他に同様の事象は起きていないという。バグを修正するなどしてシステム改修後に、同機能を再開するとしている。
(日経クロステック/日経コンピュータ 長倉克枝)
https://web.archive.org/web/20220402002858/https://nikkei.com/article/DGXZQOUC011GJ0R00C22A4000000/
2022年4月1日 12:02 日経クロステック