【重要なお知らせ】HTMLソースコード上にメールアドレスが確認できる状態にあった不具合についてのお詫び
いつもMENTAをご利用いただきまして、誠にありがとうございます。
この度は、MENTAのサービスにおきまして、HTMLソースコード上に本人以外のメールアドレスが確認できる状態にあることが、社内で実施した情報セキュリティ脆弱性診断にて判明いたしました。
下記で案内いたしますご利用者様におかれましては、不特定な人物にメールアドレスを見られてしまう可能性があり、直ちにメールアドレスの記載されている箇所を削除いたしました。
皆様には、多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。
現時点では本件によるメールアドレスの流出や被害は報告されておりません。
また、二次被害を招く可能性があったために調査・対処後のご報告となりました。
併せてお詫び申し上げます。
弊社といたしましては、このような事態を招いたことを重く受け止め、個人情報の取扱い及び情報セキュリティに関する社内教育ならびに管理体制の更なる強化に取り組み、再発防止に努めてまいります。
①経緯
2021年12月24日(金)
社内で実施した情報セキュリティ脆弱性診断にて、HTMLソースコード上に本人以外のメールアドレスが確認できると判明。同日に、影響範囲調査を行い、HTMLソースコード上に表示されないよう修正。
2022年1月14日(金)
影響のあるキャッシュサイトから削除。
2022年2月7日(月)
脆弱性レビューリストによる運用開始。
2022年2月21日(月)
その他の脆弱性対応完了。
②対象の個人情報
下記a~cのリリース日から、2021年12月24日の期間に「チップ機能」「応援機能」「イベント機能」をご利用いただいている方となり、全体で4,354件(重複あり)が該当いたします。
a)チップ機能
リリース日:2021月6月30日(水)
対象数:1,715名
外部から確認できる状態にあったページ件数:非会員に公開されたページはありません。
b)応援機能
リリース日:2021年9月6日(月)
対象数:3,517名
外部から確認できる状態にあったページ件数:公開プランページ3,295件
c)イベント機能
リリース日:2021年10月14日(木)
対象ユーザ数:432名
外部から確認できる状態にあったページ件数:開催済みのイベントページ48件
③ユーザー様への対応
該当メールアドレスのユーザー様に、メールにてご連絡いたしました。
・HTMLソースコード上にメールアドレスが確認できる状態であったことへのお詫び
④関係当局への報告
本件、調査報告書をとりまとめ、下記関係当局への報告をしております。
個人情報保護委員会
https://www.ppc.go.jp/index.html
⑤再発防止策
個人情報やセンシティブなデータにアクセスする際のリリースプロセスを見直し、レビュー体制を強化するなど、人為的ミスが起こらない体制を構築してまいります。
a)フロントサイドのパラメータやHTMLソースに、個人情報やシステム上不正利用につながる情報を含まれないことをコーディングルール化
b)開発者は、プログラム設計・開発時に「a」を認識して設計・コーディングすることを徹底する
c)レビューチェックリストの厳格化
d)リリース時のダブルチェック実施
⑥最後に
今後も、継続的に全従業員を対象に、個人情報保護及び情報セキュリティ教育を徹底し、情報資産管理への意識向上を図ってまいります。
また、モニタリングを継続し、流出の事実が確認された場合には、速やかに公表させていただくとともに、本事案の教訓を踏まえ、ユーザー様に安心して弊社サービスをご利用いただけるよう、より一層の情報セキュリティ強化に取り組んでまいります。
⑦本件に関する問い合わせ先
MENTA株式会社
個人情報お問い合わせ窓口
〒150-0002 東京都渋谷区渋谷3-10-13 TOKYU REIT 渋谷Rビル 9F
メールアドレス:privacy@lancers.co.jp
※HTMLソースコードとは
HTML言語で書かれている、コンピュータプログラムを表現する文字列のことを指します。