グリーホールディングス株式会社及びグリーグループ各社は10月30日、個人情報の内部管理の不備について発表した。
これは2024年7月17日から2025年9月24日の期間、グリーホールディングスにてマイナンバー収集業務のため構築していた社内作業用サーバにある個人情報やマイナンバーを含む複数フォルダが、権限設定の不備で、同社グループのアカウントを持つ業務従事者(従業員、派遣社員、業務委託先)から閲覧可能な状態になっていたというもの。9月24日に、グリーホールディングスの情報セキュリティ部門が定期的な社内のシステムチェックを行う中で判明した。
対象となる個人情報は下記の通り。
1.下記に該当する従業員とその家族の情報
・2015年から2018年にグリー株式会社(現:グリーホールディングス株式会社)に在籍した従業員
・2017年から2018年に株式会社ポケラボ(現:株式会社WFS)に在籍した従業員
・2021年に株式会社3ミニッツ(現:グリーエックス株式会社)に在籍した従業員
・2021年にアウモ株式会社(現:グリーエックス株式会社)に在籍した従業員
件数:3,191件
情報項目:氏名、マイナンバー、社員番号
2.2020年から2025年に下記のグループ会社と取引のあった関係者の情報
・グリーホールディングス株式会社
・株式会社WFS
・REALITY株式会社
・REALITY Studios株式会社
・グリーエンターテインメント株式会社
・グリーエックス株式会社
・グリー株式会社(現:グリーホールディングス株式会社)
・Glossom株式会社(現:グリーエックス株式会社)
・グリーライフスタイル株式会社(現:グリーエックス株式会社)
・株式会社3ミニッツ(現:グリーエックス株式会社)
・株式会社ポケラボ(現:株式会社WFS)
件数:95件
情報項目:氏名、住所、マイナンバー含め支払調書記載の情報
3.2019年から2025年までに下記のグループ会社と取引のあった関係者の情報
・グリーホールディングス株式会社
・株式会社WFS
・GREE Studios株式会社
・株式会社グリー
・REALITY株式会社
・REALITY Studios株式会社
・株式会社RK Music
・BLRD PTE. LTD.
・グリーエンターテインメント株式会社
・DADAN株式会社
・グリーエックス株式会社
・株式会社ExPlay
・グリーベンチャーズ株式会社
・STRIVE株式会社
・GREE Capital Partners, LLC.
・グリーキャピタルマネジメント株式会社
・GREE LP Fund US, LLC
・グリービジネスオペレーションズ株式会社
・グリー株式会社(現:グリーホールディングス株式会社)
・アウモ株式会社(現:グリーエックス株式会社)
・グリーライフスタイル株式会社(現:グリーエックス株式会社)
・株式会社3ミニッツ(現:グリーエックス株式会社)
・Glossom株式会社(現:グリーエックス株式会社)
・リミア株式会社(現:グリーエックス株式会社)
・REALITY XR cloud株式会社(現:グリーエックス株式会社)
・株式会社ポケラボ(現:株式会社WFS)
・株式会社REALITY Factory(2019年に解散)
件数:6,943件
情報項目:氏名、住所、口座情報(一部の方)
グリーホールディングスによると、当該フォルダを業務上利用するのは担当者1名のみで、フォルダパスの社内公開や担当者以外への伝達が行われた記録は確認されておらず、現時点で当該担当者以外のグリーホールディングスグループ業務従事者の当該フォルダへのアクセス、外部への情報漏えい、不正利用等の事実はない。
グリーホールディングスでは現在、対象者である休職中もしくは退職した従業員と関係者に対し、個別に連絡を進めている。
グリーホールディングスでは当該フォルダの共有設定を適切に修正している。
グリーホールディングスグループでは今後、情報管理体制を強化するとともに、情報取り扱いのルール説明など従業員への教育を徹底することで再発防止に取り組むとのこと。
