保育園運営会社アプリの開発環境に不正アクセス、園児や保護者6000名超の個人情報流出の可能性

公開日:2020/2/14

認可保育園や児童館などの保育サービスを提供するライクアカデミー株式会社は、同社アプリ開発環境への不正アクセスにより、園児や保護者6000名超の個人情報が流出した可能性があると発表した。

2020年1月23日、同社が提供する保育園向け連絡帳アプリ「ナナポケ」の開発環境データベースに不正アクセスがあったと委託先から報告を受けたとしている。

同日開発環境への外部アクセスを遮断、翌24日には本番サービスの提供を停止した。

流出した可能性のある個人情報は以下の通り。

（1）保護者様
2,939名分の氏名、及び一部の方の電話番号
（2）園児様
3,754名分の氏名、郵便番号、一部の方の住所、一部の方の住所の建物名、生年月日、性別、入園・退園日
（3）対象地域
①神奈川県横浜市の認可保育園
（戸塚区、保土ヶ谷区、西区、金沢区、青葉区、港北区、泉区、磯子区、中区）
②神奈川県相模原市の認可保育園（南区、中央区）
③兵庫県川西市の認可外保育室
④大阪府大阪市住吉区の認可外保育室
⑤大阪府泉大津市の認可外保育室

流出可能性のある個人情報には、住所及び電話番号が含まれていることから、心当たりのない郵送物が届く可能性や、不審な連絡が入る可能性について言及し警戒を呼び掛けた。

同社は、不正アクセス被害の原因として、

（1）委託先会社が構築したテスト環境において、外部からのアクセスが可能な状態になっていたこと。
（2）委託先会社の設定したテスト用のデータベースにアクセスするための認証情報（ユーザー名、パスワード）が脆弱であったこと。
（3）委託先会社におけるデータベースの匿名化（マスク処理）が不十分であったこと。

を挙げている。

また再発防止策として、

（1）セキュリティが脆弱な会社に委託することがないよう、委託先会社に求めるセキュリティ要求事項の見直しを実施。
（2）委託先会社との契約に定める情報セキュリティ対策条項を見直し、委託先会社における順守状況の確認を実施。
（3）弊社全職員だけでなく、委託先会社に対しても個人情報管理に対する意識を徹底するための研修を実施。

を行うとしている。