長浜市が株式会社両備システムズ(受託事業者)に運営・管理を委託している子育て応援アプリ「ながまるキッズ!」が、第三者からの意図しないアクセスを受け、2件の個人情報が参照された可能性があることが判明しました。
データが参照された可能性がある2名の方に対しては、個別にお詫びのご連絡をさせていただき、二次被害等が生じていないことを確認しました。
原因は受託事業者によるシステムの設定不備でありましたが、令和3年2月1日に設定変更が完了しており、現在は問題のある状態は解消しております。
同アプリをご利用の皆様にご心配をおかけしましたことを深くお詫び申し上げます。
■対象システム
長浜市子育て応援アプリ「ながまるキッズ!」
平成30年2月導入
登録者数 3,948人(令和3年3月末)
アプリを通じて長浜市の子育てに関する様々な情報を発信している
■原因
・同アプリの運用にあたり、受託事業者が利用しているクラウド管理システムのセキュリティ設定に不備があったため。
なお、本件は「Salesforce」(株式会社セールスフォース・ドットコム社 提供)を活用したシステムを利用している企業や自治体等において、昨年末ごろから相次いで判明しているものと同様の事象です。
■アクセスログの解析により判明した事
・アクセスログの期間
平成30年2月(導入時点)から令和3年2月12日
・不正アクセスを受けた日時等
令和2年11月8日から令和2年11月25日
接続回数133回 データ参照回数45回
(※実際に接続できなかった回数も含まれています。)
・第三者からの接続が133回あり、その内データベースへ侵入した回数は45回ありました。
データを取得しようとした45回について、同アプリのユーザー情報が記録されている領域については、100件のデータが参照された可能性があることがわかりました。
そのうち、実際に個人情報がデータとして登録されていたのは2件でした。残りの98件はニックネーム等のみの登録となっており、個人を特定できる情報は含まれていませんでした。
・この2件のデータには、ユーザー登録の際にご登録いただいた、氏名・住所・メールアドレス・電話番号が含まれていました。
データが参照された可能性がある2名の方に対しては、個別にお詫びのご連絡をさせていただき、二次被害等が生じていないことを確認しました。
■受託事業者による再発防止策について
・当該事象が発生するに至った原因の是正対策
・クラウド管理システムのセキュリティ強化
・危機管理体制に関する改善