観光庁看板商品事業で情報漏洩 申請事業者最大1万1483人分の個人情報(JTB)
2022年10月25日(火) 配信
観光庁は10月25日(火)、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」の補助事業者であるJTB(山北栄二郎社長)が管理・運用するクラウドサービスにおいて、アクセス権限を誤設定したことで申請事業者の個人情報が採択事業者(間接補助事業者)へ漏洩したと発表した。
このほど漏洩した個人情報は、最大1万1483人分の個人情報を含む1698件の申請書類と、補助金交付申請書など。このなかには、組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレス──などの情報が含まれていた。
JTBが管理・運用するクラウドサービスは、本来であれば、申請する事業者が自社の申請書以外にはアクセスできない仕様だった。
しかし、クラウドサービス内に格納したデータへの個別アクセス権限を誤設定したことで、同事業の申請書類と補助金交付申請者などの情報が、ログイン権限を持つ事業者相互に閲覧可能な状態となっていた。
同社の調査によれば、ファイルをダウンロードしたのは18件の間接補助事業者。この事業者に対して削除を依頼し、全件削除済みであることを確認している。クラウドサービスについては、同社が厳重に総点検を行い、アクセス権限が適切に設定された旨を観光庁へ報告した。
JTBは今回の事態に対し、関係者へ謝罪の意を伝えるとともに「アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化により、再発防止をはかっていく」と発表した。
また、観光庁は、「今後このような事態が生じないよう、個人情報などの厳正かつ適正な管理について、補助事業者への指導を徹底していく」とした。