デジタル庁は2022年3月30日、事業者向け共通認証サービス「gBizID(GビズID)」に不具合があり、利用者の個人情報の漏洩があったと発表した。事業者が同サービスで自社の利用者情報を取得する際に、プログラムのバグが原因で他社の利用者情報も取得できた。現在は利用者情報を取得する機能を停止している。
GビズIDは事業者などが国に行政サービスの電子申請などをする際に利用する共通認証サービスである。企業の代表者の「プライム」アカウントに従業員の「メンバー」アカウントをひもづけることができ、代表者のアカウントでログイン後に、「メンバー」の利用者情報をCSVで出力する機能がある。
2022年3月28日15時ごろ、この機能を使って自社の利用者情報を取得しようとしたA社から、他社の利用者情報を取得できたとの報告が同サービスの運用ベンダーに対しあった。A社が取得したのはX社の「メンバー」アカウント31人のメールアドレス、氏名、勤務先住所、電話番号、生年月日などである。同日夜にベンダーからデジタル庁に報告があり、同機能を一時的に停止したうえで、原因などを調査した。
2022年3月30日午前までに、同機能で自社の「メンバー」の利用者情報を出力する際に、操作画面から特定の操作をすると、他社の「メンバー」の利用者情報を取得できることが判明。過去の利用履歴から、2022年3月下旬に同様の操作をしたB社に確認したところ、他のY社の「メンバー」231人の個人情報を取得したことを確認した。
同機能は2020年3月より稼働しているが、デジタル庁によると調査の結果これまで他に同様の事象は起きていないという。バグを修正するなどしてシステム改修後に、同機能を再開するとしている。
からの記事と詳細 ( デジタル庁の認証サービス「GビズID」で個人情報漏洩、プログラムのバグが原因 - ITpro )
https://ift.tt/3C2i1Mn
No comments:
Post a Comment