保育サービスを提供するライクアカデミー株式会社は2月10日、同社が運営する保育園向け連絡帳アプリ「ナナポケ」の開発用テスト環境に第三者からの不正アクセスがあり個人情報が流出した可能性が判明したと発表した。
これは1月23日午後1時50分に、同社が「ナナポケ」の開発や保守・管理を委託している委託先会社がアプリの開発に使用しているテスト環境に設置しているデータベースに対し一部システムの脆弱性を突いた不正アクセスがあり、同日午後6時に当該データベース内に個人情報が含まれていることを確認したというもの。委託先会社が構築したテスト環境は、外部からのアクセスが可能な状態となっており、またテスト用データベースにアクセスするための認証情報(ユーザー名、パスワード)が脆弱であり、データベースの匿名化も不十分であった。
流出した可能性があるのは神奈川県横浜市(戸塚区、保土ヶ谷区、西区、金沢区、青葉区、港北区、泉区、磯子区、中区)の認可保育園、神奈川県相模原市(南区、中央区)の認可保育園、兵庫県川西市の認可外保育室、大阪府大阪市住吉区の認可外保育室、大阪府泉大津市の認可外保育室の保護者2,939名分の氏名、及び一部の電話番号と園児3,754名分の氏名、郵便番号、一部の住所、一部の住所の建物名、生年月日、性別、入園・退園日。
委託先会社では、不正アクセス判明後に、当該サーバに対する外部からのアクセスを遮断、翌1月24日午後1時には本番環境のサービスを停止し外部からのアクセスを遮断するとともに、アプリに対する外部からのアクセスも遮断、1月27日には第三者機関であるセキュリティ調査会社へ個人情報漏えいの有無等の調査を依頼した。
同社では個人情報が流出した可能性がある対象者に、不審な郵便物や連絡等があった場合は同社に連絡するよう呼びかけている。
同社では今後、委託先会社に求めるセキュリティ要求事項の見直しや委託先会社との契約に定める情報セキュリティ対策条項の見直しと順守状況の確認を実施し再発防止に努めるとのこと。
これは1月23日午後1時50分に、同社が「ナナポケ」の開発や保守・管理を委託している委託先会社がアプリの開発に使用しているテスト環境に設置しているデータベースに対し一部システムの脆弱性を突いた不正アクセスがあり、同日午後6時に当該データベース内に個人情報が含まれていることを確認したというもの。委託先会社が構築したテスト環境は、外部からのアクセスが可能な状態となっており、またテスト用データベースにアクセスするための認証情報(ユーザー名、パスワード)が脆弱であり、データベースの匿名化も不十分であった。
流出した可能性があるのは神奈川県横浜市(戸塚区、保土ヶ谷区、西区、金沢区、青葉区、港北区、泉区、磯子区、中区)の認可保育園、神奈川県相模原市(南区、中央区)の認可保育園、兵庫県川西市の認可外保育室、大阪府大阪市住吉区の認可外保育室、大阪府泉大津市の認可外保育室の保護者2,939名分の氏名、及び一部の電話番号と園児3,754名分の氏名、郵便番号、一部の住所、一部の住所の建物名、生年月日、性別、入園・退園日。
委託先会社では、不正アクセス判明後に、当該サーバに対する外部からのアクセスを遮断、翌1月24日午後1時には本番環境のサービスを停止し外部からのアクセスを遮断するとともに、アプリに対する外部からのアクセスも遮断、1月27日には第三者機関であるセキュリティ調査会社へ個人情報漏えいの有無等の調査を依頼した。
同社では個人情報が流出した可能性がある対象者に、不審な郵便物や連絡等があった場合は同社に連絡するよう呼びかけている。
同社では今後、委託先会社に求めるセキュリティ要求事項の見直しや委託先会社との契約に定める情報セキュリティ対策条項の見直しと順守状況の確認を実施し再発防止に努めるとのこと。
