「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の事務局を務めるJTBは2022年10月、申請事業者向けのクラウドサービスで、アクセス権限を誤設定していたため、個人情報が記入された申請事業者1698件の申請書が、ほかの事業者からダウンロードできる状態になっていたと発表しました。18事業者は実際にダウンロードしていました。5,6月に指摘を受けていましたが、個人情報の漏洩事案として共有できておらず、3度目の指摘でようやく事態の重大さを認識したといいます。
地域独自の観光資源を活用した地域の稼げる看板商品の創出事業とは、事務局が運営する公式サイトによると、地域経済を支える観光の復興に向けて、看板商品の創出を図るため、自然、食、歴史、文化・芸術、生業、交通など地域ならではの観光資源を活用したコンテンツづくりから販路開拓までを支援する事業です。
予算は101億円。補助上限は1000万円で補助率は500万円まで10/10、500万円を超える分は1/2でした。
JTBは次の期間に情報漏洩があったと明らかにしました。
| アクセスできた期間 | アクセスできた情報 |
|---|---|
| 2022年5月24日~5月26日 | 一次公募申請事業者の申請データ |
| 2022 年5月24日~6月7日 | 一次採択事業者の交付申請書 |
| 2022年7月19日~8月9日 | 変更申請書 |
| 2022年9月9日~9月29日 | アンケートの回答結果 |
ほかの事業者がクラウドサービス上でアクセスできる状態になっていた情報は1698件分の事業者の申請書などで、申請書には組織名、部署名、役職名、氏名、業務連絡先用電話番号・メールアドレスなど最大1万1483人分の個人情報が含まれていました。
アクセス記録を解析したところ、18事業者がダウンロードしていたことが分かったといい、JTBは「データの削除と保管がされていないこと、2次利用やダウンロードした対象となる事業者様への不利益になる活用はしないことに対し確認を取り、削除完了の通知をいただいております」と説明しています。
地域独自の観光資源を活用した地域の稼げる看板商品の創出事業では、観光庁や申請事業者らの情報共有を目的にクラウドサービスを管理・運用していました。
仕様上、格納データには個別にアクセス権限を設定する予定でしたが、システム運用時に設定漏れがあり、自社だけでなくほかの事業者のデータにもアクセス可能な状態となっていたといいます。
5,6月に事業者からほかの事業者のデータが見られるといった指摘がありました。しかし、その都度対象ファイルのアクセス権限のみ修正するだけで、情報漏洩事案として共有できておらず、情報漏洩を繰り返し、3度目の指摘で事態の重大さに気づき、対応することになったといいます。
JTBによると、発表時点で被害報告はないといい「アクセス権限設定のチェック体制ならびに事業管理体制の強化により、再発防止を図ってまいります」とコメントしています。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
