ダイソー、1万件超の個人情報漏えいか　約5年間外部から閲覧可能に　「Googleグループ」の閲覧権限に不備（1/2 ページ）

　100円ショップ「ダイソー」を運営する大創産業（広島県東広島市）は6月18日、顧客や取引先、従業員などの個人情報計1万307件に漏えいの可能性があると発表した。同社が利用していた掲示板／メーリングリストサービス「Googleグループ」の設定不備により、2019年12月9日から5年超もの間、外部から閲覧可能となっていた。

大創産業公式Webサイトより引用

　閲覧権限に不備があったのは、同社が管理していた57グループ。いずれも登録された関係者限定で利用すべき情報だったが、外部からもアクセスできる設定となっていた。

　閲覧可能だった情報は氏名、住所、電話番号、メールアドレスなど。内訳は、同社ECサイトの利用者4498件（うち口座情報49件）、取引先4578件、中途採用の応募者698件（うち履歴書・職務経歴書など615件）、従業員533件（うち健康保険証149件、要配慮個人情報4件を含む）。

　問題は4月26日、外部からの指摘を受けて発覚した。同日中に全てのグループの公開設定を、非公開に切り替えたという。同社はこれを受けて、社員が単独で新たなグループを作成できないよう制限したほか、作成時には申請承認を必要とする社内フローを導入。対象の顧客には個別に連絡済みで、現時点で漏えいによる二次被害は確認されていないとしている。

　同社は5月1日付で、個人情報保護委員会への報告を済ませた。今後も同委員会の指導を受けつつ対応を進める方針で、「社員教育の徹底などにより情報管理を徹底し、再発防止に努めてまいります」としている。