パスワードを忘れた? アカウント作成
17651387 story
ニュース

転職サイト「doda」で個人情報が元勤務先から5年間丸見え。ブロック機能の不具合 18

ストーリー by nagazou
やなパターンだ 部門より
転職サイト「doda」で、法人ユーザーが本来閲覧できないはずの個人ユーザーの情報が閲覧可能になっていたことが判明したそうだ。不具合があったのは法人向けサービス「doda Request」機能。この不具合により、2018年8月7日から23年10月31日にかけて、約9万6338人の個人ユーザーの年齢、性別、居住地、学歴、資格、経験業種・職種、年収などが閲覧可能だった上、本来送信できないはずのスカウトメールの送信も可能だったとしている(パーソルキャリアリリースITmedia)。

問題は、過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったこと。登録されている企業名の表記と個人ユーザーが登録した直近の勤務先会社名が、特定の条件(全角・半角・大文字・小文字の完全一致)を満たさないとブロック機能が動作しなかったことにある。

運営元のパーソルキャリアは現在、サービス提供を停止し、情報を閲覧された可能性のある個人ユーザーに連絡を取っているとしている。今後の再発防止策として、個人情報・機密情報の保護を強化する方針としている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年11月09日 12時39分 (#4560930)

    これってスカウト機能を使って公開設定した人のみの話だよね
    ヤフーとかの掲示板見てると勝手に個人情報が公開されたと勘違いしてるコメントが多かったけど、イメージ全然違うかな

    でもブロック機能とかあったんだ
    他のサイトでも似たような機能あるけど、ブロックとかあったかな?
    しつこくスカウトスパムメール送ってくる人をブロック出来たら便利かと思ってしまった

    • by Anonymous Coward

      こういうのは企業に振ったIDで制御すべきだけど、文字列比較でやっちゃってるのは稚拙だねぇ。
      まぁ元は見れてた情報だし、たいした影響はなさげではあるが。

      • by Anonymous Coward

        振ったIDというか、法人番号でデータベース化して法人番号で登録出来るようにするべきかなぁ

      • by Anonymous Coward

        そもそも複数企業(グループ会社とか)でこっそり情報交換したり、何なら適当な子会社作ったりすれば見えてしまう気がするんだが…そうでもないのかな?知らんけど。人員整理したい企業なんかは自社の社員が転職を希望してるかどうかを知りたいんでは。

        • by Anonymous Coward

          うむ。本気で悪用しようとすると止めるのは無理くさい。
          なのでブロック機能もおまけみたいなものだったが思いの外騒ぎになったとか。

      • by Anonymous Coward

        dodaだけじゃなく、自分が見た大抵の転職サイトでは文字列比較のブロックです。
        そもそも、全く同名の企業なんか山ほどあるのに、なんで文字列比較でいいなんて考えたんでしょうかねえ。

        • by Anonymous Coward

          目視の文字列比較で名寄せ頑張ってるマイナンバー担当に謝れ

          • by Anonymous Coward

            わかって言ってるのかもしれないけど、転職サイトのブロック機能と役所で行う名寄せなんかは、目的も仕組みも全然違いものなのよ。

            まず、転職サイトで求職者の情報を見たい企業は、自分で企業名とか所在地とか設定してIDを振りだしてもらう。
            そして、求職者は、転職活動中なのは現職の企業なんかに知られたくないから、それらから見られるのをブロックしたい。
            つまり、ブロックしたい企業について名前だけじゃなくその他の属性もよく知っていて、同名や似ている名前の
            企業群から、自分の情報を隠したい企業をほぼ確実に特定できるわけ。

            一方名前だけでのブロックだと、オファーがあったら受けたい企業なのに、ブロックしたい企業の名前の条件と
            マッチしてしてしまうとオファーを受け取ることができなくなってしまう。

            そういうわけで、求職者から見れば、名前なんかじゃなくIDとかでブロック対象を特定したい。

  • by Anonymous Coward on 2023年11月09日 12時39分 (#4560931)

    取調室のマジックミラーみたいですね
    カツ丼差し入れサービスも実装してほしい

  • by Anonymous Coward on 2023年11月09日 13時02分 (#4560947)

    > (全角・半角・大文字・小文字の完全一致)

    法人番号とかで一意に識別すればいいだろうに。

    • by likeamagic (32922) on 2023年11月09日 20時41分 (#4561338)

      >法人番号とかで一意に識別すればいいだろうに。

      法人番号を全角で入れたらOK

      親コメント
    • by Anonymous Coward

      合併や会社分割もありふれてるので、旧職場のIDが変わらないなんて期待はしない方がいい。

      • by Anonymous Coward

        テセウスの船 [wikipedia.org]の議論でもする?

        将来的なことはともかく、まずは現時点での会社情報を法人番号で特定しないと話にならないよ
        それで大体のケースはカバーできるし、少なくとも法人番号さえ特定できれば、その後の合併や会社分割も追える

  • by Anonymous Coward on 2023年11月09日 14時52分 (#4561019)

    さあ、みんなでパーソルキャリア株式会社へ応募しよう。
    で、システムを再構築する。と。

    Pマーク取得してるみたいだけど、普通に考えて抹消だな。
    次はきついぞ。

    • by Anonymous Coward

      パーソルにシステム開発の仕事なんて存在しないぞ。下請けに丸投げするだけ。オリンピック仲良し組の一角。

  • by Anonymous Coward on 2023年11月09日 16時21分 (#4561105)

    プライバシーマーク取得しているけど、今回は取り消し要件に合致するのだろうか。
    とても適切に運用しているとは思えない

  • by Anonymous Coward on 2023年11月10日 0時46分 (#4561432)

    「情報を閲覧された可能性のある個人ユーザーに連絡を取っているとしている」
    最近、ここで転職決めたのでお詫びメール来た。
    プレスリリースの内容ほぼそのまま。

    表記ゆれ考慮しないとか、どんだけ~。。

    しかし、、発覚するまでの期間長すぎじゃないだろうか。

    • by Anonymous Coward

      旧勤務先からスカウトメールが来た誰かがパーソルキャリアに問い合わせて発覚したんだろうか

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...