デンソー　SharePoint権限設定ミスで従業員情報漏洩か　全社員から閲覧可能に

見出し

1 業務上必要な者のみに制限すべきところ
2 3つのカテゴリで情報が閲覧可能に
3 対象者に謝罪と報告
4 全従業員への権限付与を原則禁止
5 SharePoint権限設定ミスの深刻さ
6 クラウドサービスの権限管理の重要性
7 内部からの閲覧可能性
8 教育と技術的対策の両輪

デンソー（愛知県刈谷市）は25日、情報共有ツール「Microsoft SharePoint Online」の権限設定ミスにより、同社グループの従業員や取引先従業員の個人情報が、同社グループ内の全従業員から閲覧可能な状態になっていたと発表した。CAD教育の受講者情報や電子請求書システムの登録者情報などが対象で、最長で2022年6月から2025年9月まで閲覧可能だったという。グループ外からは閲覧・ダウンロードできない状況だったことを確認済みだとしている。

弊社グループ関係者の個人情報の漏えいに関するお詫び｜株式会社デンソーより引用

業務上必要な者のみに制限すべきところ

デンソーによると、同社の社内調査により、SharePoint Online（SPO）内のデータについて、本来は閲覧・ダウンロード権限を業務上必要な者のみに制限すべきところ、誤って同社グループ内の全従業員に権限が設定されていたことが判明した。該当データは、同社グループ外からは閲覧・ダウンロードできない状況であったことを確認済みだという。

3つのカテゴリで情報が閲覧可能に

閲覧可能だった情報は3つのカテゴリに分かれる。1つ目は、社内CAD教育（機械系CAD NXに関する教育）の事務局を担当していた同社または取引先の従業員の情報だ。2018年2月23日から2025年9月23日までの対象期間について、2022年6月22日から2025年9月23日まで閲覧可能だった。氏名、所属会社名、所属部署名、従業員番号、メールアドレスが含まれる。

2つ目は、対象期間内に社内CAD教育の申請、受講、受講料支払いのいずれかを行った同社グループまたは取引先の従業員の情報だ。2018年2月23日から2025年9月22日までの対象期間について、2022年9月14日から2025年9月23日まで閲覧可能だった。氏名、所属会社名、所属部署名、従業員番号、メールアドレス、受講した教育に関する情報が含まれる。

3つ目は、同社電子請求書発行システムに2024年3月18日時点で登録されている同社グループ会社または取引先の従業員の情報だ。2024年3月20日から2025年9月23日まで閲覧可能だった。氏名、メールアドレス、所属会社名、電話番号が含まれる。

対象者に謝罪と報告

デンソーは、該当データの権限を是正し、業務上必要な者以外からは閲覧・ダウンロードできない状態にした。また、同社から対象者に対し、謝罪および報告を行ったという。ただし、一部連絡先が不明な方がいるため、公表をもって謝罪および報告とするとした。

全従業員への権限付与を原則禁止

再発防止策として、デンソーは誤って広範な権限設定がされないよう、SharePoint Onlineについてグループ内全従業員に閲覧・ダウンロードの権限を付与する設定を原則禁止とした。また、全従業員に対し、個人情報の取扱いに関する教育を改めて実施したという。

SharePoint権限設定ミスの深刻さ

今回の事案は、SharePoint Onlineという広く利用されている情報共有ツールでの権限設定ミスだ。SharePointは、Microsoft 365（旧Office 365）に含まれるクラウドベースの情報共有・文書管理サービスで、多くの企業が利用している。

SharePointでは、サイト、ライブラリ、フォルダ、ファイルなど、さまざまなレベルで権限を設定できる。適切に設定すれば、業務上必要な者のみに情報を共有できるが、設定ミスがあると今回のように広範囲に情報が閲覧可能になるリスクがある。

特に「全従業員」への権限付与は、最も広範な設定であり、本来は慎重に判断すべきだ。デンソーが原則禁止としたのは妥当な対応といえる。

クラウドサービスの権限管理の重要性

クラウドサービスの普及に伴い、権限設定ミスによる情報漏洩のリスクが高まっている。SharePointに限らず、Google DriveやBox、Dropboxなどのクラウドストレージサービスでも、同様のリスクがある。

権限設定は一度行えば終わりではなく、定期的な見直しが必要だ。特に組織変更や人事異動があった場合、不要な権限が残っていないか確認すべきだ。また、権限設定の変更履歴を記録し、誰がいつどのような変更を行ったか追跡できるようにすることも重要だ。

内部からの閲覧可能性

今回の事案では、グループ外からは閲覧・ダウンロードできなかったとされているが、グループ内の全従業員が閲覧可能だったことは重大だ。従業員数約17万人（2025年3月期）の大企業であるデンソーにおいて、全従業員が閲覧可能な状態は、極めて広範な情報共有といえる。

悪意ある従業員による情報持ち出しのリスクや、業務上不要な情報へのアクセスによるプライバシー侵害のリスクが存在していた。幸い二次被害の報告はないとされているが、今後も監視が必要だ。

教育と技術的対策の両輪

デンソーは再発防止策として、全従業員への権限付与を原則禁止する技術的対策と、個人情報の取扱いに関する教育を実施した。この両輪のアプローチは適切だ。

技術的対策だけでは、例外的な業務要件で全従業員への権限付与が必要になった際に対応できない可能性がある。教育により、権限設定の重要性を理解させ、適切な判断ができる人材を育成することが重要だ。

デンソーは「この度の事象を厳粛に受け止め、再発防止と管理体制の強化に努めてまいります。関係者の皆様にご心配をおかけしたことを、改めて深くお詫び申し上げます」としている。問い合わせは同社のウェブサイト（https://contact-us.denso.com/form/jp/ja/contact-us/others）まで。