パスワードを忘れた? アカウント作成
14009707 story
情報漏洩

LINE傘下のLINE Credit、担当者が誤って個人情報を含むExcelファイルをオープンチャットに投稿 42

ストーリー by hylom
どうしてそうなった 部門より

LINE傘下のLINE Creditが、個人向けローンサービス「LINE Pocket Money」申込者の個人情報を含むExcelファイルを、誤ってLINEのチャットサービス「OpenChat」に投稿してしまい、チャット参加者がファイルをダウンロードできる状態になっていたと発表した(LINE Creditの発表)。

誤って投稿されたファイルは2分後に削除されたが、削除までの間、4名がこのファイルをダウンロードしていたという。漏洩したデータは280人分で、氏名および生年月日、自宅/携帯電話番号、LINE Creditで扱う管理番号、指定信用情報機関から取得した情報の一部が含まれていたとのこと。

  • by nnnhhh (47970) on 2019年09月24日 15時28分 (#3690338) 日記

    やっちゃった奴はガクガクやろうな

    ここに返信
    • by Anonymous Coward

      ラインのデフォルトスタンプのテヘペロの出番ですよ。

    • by Anonymous Coward

      そもそも、そういう機密情報を外向きのチャットに上げれる時点で会社の意識が問われるし、それが当たり前の会社だとすると、ガクブルどころかテヘベロだろうな。

    • by Anonymous Coward

      一体何をしようとしたらこうなるの?が想像付かない+説明されてないから
      流出は故意だったんじゃないの?疑惑がむくむく湧き上がってくる

      • by Anonymous Coward

        申し込みはアプリ上からのようなのに、なんで Excel 管理になるのかその時点でよくわからないけど、

        申し込み情報が(データベースではなく)どこかテキストで保存される or 審査用に Excel に書き写す必要がある

        当日分の申し込み情報を Excel に纏める

        Line で共有(審査部門に提出)

        なんて運用を想像した。

        • by Anonymous Coward

          審査用に Excel に書き写す必要がある

          個人情報が載っている系と、審査用に提出する系は物理的に分離されている筈なので、
          きっと中の人が毎日ブツブツ文句言いながら念写しているんですよ…。

  • by Anonymous Coward on 2019年09月24日 15時44分 (#3690351)

    Excelが諸悪の根源だってはっきりわかんだね。

    ここに返信
  • by Anonymous Coward on 2019年09月24日 17時33分 (#3690434)

    カウントされるんだ。
    #どこまでロギングされる?

    ここに返信
    • by Anonymous Coward

      Line creditに書いてあるけど、誰がダウンロードしたかも特定し、
      削除を要請したってさ。

      # これ、応じなかったら不正アクセス扱いになるのだろうか?

      • by Anonymous Coward

        特に不正な手段を取ることなく、一般公開されているものをダウンロードしても不正アクセスにはならない。
        それが著作権で保護されているものの場合は、著作権法のダウンロード違法の罰則が適用されるが、今回のファイルには適用されないね。
        ただし、ダウンロードしたファイルを公開したら話は別。

        • by hjmhjm (39921) on 2019年09月25日 17時46分 (#3691067)

          ダウンロードしたファイルをもし公開したとしたら、何がダメなんだっけ?
          # とくにダメとは言えない気がする。。。

          • by Anonymous Coward

            著作物なら、自動公衆送信権(サーバに置いて送信可能にする権利)みたいなのじゃないの。
            業務ファイルなら、営業秘密の漏洩や職権乱用にあたるかと。(まあ、職権乱用を引けば大体どうにかできますよね。)
            公益通報などの正当な理由が無ければ、不当な保有になる。

            こんなところじゃないの、よくわからないけど。

            • by hjmhjm (39921) on 2019年09月27日 1時32分 (#3692057)

              でも、ダウンロードしたヤツは秘密保持に同意したわけでもないし、業務で得た情報でもないしなあ。
              また、削除してくれと言われても、従わなければならない根拠があるのかどうかさえわからん。ミスだから、みたいな言い訳をされても関係ないし。

              「善意の第三者」ならもちろん、そうでなくても、やはり罪があるような気がしない。

      • by Anonymous Coward

        そもそも本当に削除したかどうかなんて分からないじゃん。

        • by Anonymous Coward

          デバイスを破壊して間のルータやケーブル線にキャッシュが残ってるかもしれないので、
          全部取っ替えて破壊しないと完全な削除にはならないよね。

          • by Anonymous Coward

            いや、クラウド型セキュリティ・アプライアンス(高水準ファイアウォールの類)で、Excelファイルがセキュリティ企業に流れている可能性の方が残っている可能性高い。ケーブルには残っていないだろう。

            >そもそも本当に削除したかどうかなんて分からないじゃん。

            だから、最後は、信用できる人を選ぶしかない。それでも、信用できないから、リモートアクセス/リモートワイプできる様に保険をかけたりするわけだが。

      • by Anonymous Coward

        総務省に公開されている条文 [soumu.go.jp]はいずれもアクセス制限のあるサーバーが対象になっているんだけど、OpenChatじゃあ対象外だろうなあ。
        以下、おおざっぱな不正アクセスの条件。3つのうちいずれかが該当すれば不正アクセス。
        ・アクセス制限のあるサーバーに対し他人のID、パスワードを使ってログイン
        ・アクセス制限のあるサーバーをハック
        ・アクセス制限をするサーバーの管理下にあるサーバーをハック

        ダウンロードした人が個人事業主で、かつ4721人以上の個人情報を取り扱う人ならば個人情報保護法に引っかかるかもしれない。
        #5000人よりも多い個人情報を管理している事業主は対象となる

        • by Anonymous Coward

          あれ?5000件以下のお目溢しってすでになくなってなかったっけ?

          • by Anonymous Coward

            おっとしまった、個人情報保護法だけ調べる際にサボってwikipediaを見てしまった。
            e-govで原文見てきたら [e-gov.go.jp]お目溢しが消えていますね。なので個人事業主がダウンロードしたのなら、取得方法のからみで法律違反になりそう。

      • by Anonymous Coward

        特定できるしくみなんだw

        • by Anonymous Coward

          対応の時系列を見る限りテキスト・ログ漁りを手作業でした感じですかね。そういう意味では「仕組み」はないですね。
          ダブルチェックとかもしているだろうから本当にご苦労様でした。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...