株式会社リクリエは6月30日、同社が提供する電子チェックインシステム「Tabiq」での個人情報の取り扱い不備について発表した。
これは「Tabiq」で利用者の本人確認書類画像等を保存していたクラウドストレージ(Amazon S3)の設定に不備があり、外部から第三者がアクセス可能な状態となっていたことが5月13日に判明したというもの。
対象となるのは、2020年1月20日から2026年5月14日の間で同社が「Tabiq」で取得した1,060,338人分の利用者の顔写真、署名画像、パスポートや運転免許証等の本人確認書類の画像。
同社では、セキュリティ対策の実施や委託元への報告を行うとともに、対象となる利用者への個別通知の準備を進めている。
同社では5月14日に、当該データへの外部からのアクセスを遮断する措置を完了している。
同社で第三者機関によるフォレンジック調査を実施した結果、現在までの間に同社が保有するセキュリティ監視の記録上、「Tabiq」利用者の情報が不正に取得され、悪用された等の二次被害が発生した事実は確認されていない。
同社では下記の再発防止策を実施および推進するとのこと。
・システム権限の厳格化と監査:全IAMユーザーおよび権限設定の棚卸し、バケットポリシーとACLの監査・見直しを行い、最小権限の原則に基づく再設計を実施。
・監視体制の強化:アクセスログを取得し追跡可能な状態を構築したほか、クラウド設定診断(CSPM)の実施、脅威検知サービスの活用等による監視体制の強化を実施。
・システムの安全性向上:脆弱性診断の実施や、アプリケーション構造の見直し(機密情報の非公開化およびPrivateバケットへの移行)を進める。
・運用フローの改善:社内セキュリティレビューを強化し、本番操作や設計書を作成・共有する開発フローへ変更。

