ドラッグストアチェーンも採用　労務管理システム「WelcomeHR」でマイナンバーやパスポートなど個人情報が流出

漏洩した個人データには、氏名や住所、電話番号に加え、マイナンバーカードや運転免許証、パスポートの画像データ、履歴書なども含まれていた。現在も使用しているかわからないが、同社Xの公式アカウントで2021年頃東北のドラッグストアチェーンで採用された、という投稿が確認できる。

漏洩の問題の原因は、外部からのハッキングなどではなく、単純にサーバーのアクセス権限設定ミスにあった。2020年1月から今年3月までの長期間にわたり、同システムに保存されたファイルが外部から自由に閲覧・ダウンロード可能な状態に置かれていたという。実際、昨年12月28、29日の2日間で、15万人を超える個人情報がダウンロードされていたことが判明している。

ワークスタイルテック社は「二次被害は確認されていないが、今後の調査で判明次第お知らせする」としている。

こうした特定個人情報を個人でクラウドなどに上げるのは自己責任となるが、労務管理システムは所属組織が導入するものである。基本的に社員やスタッフに選択権はなく利用はほぼ強制されるだけに、被害は大きい。

今回流出した情報はクレジットカード番号など、番号の変更で対応できるものではなく、電話番号、パスポートやマイナンバーカードなど、変更がしにくい情報も多数含まれる。これらの情報を用いれば最悪、偽造パスポート作成や、最近問題となっている携帯電話のSIMスワップ詐欺に悪用される恐れがある。個人を特定できる重要な情報が含まれていただけに、現時点では二次被害は無いと言うが、他の情報と紐づけて詐欺などに悪用されたり、将来的に追加被害が発生する可能性も無いとは言えないだろう。