昨日、エン・ジャパンの運営するサイトで個人情報漏えい事件が発覚した。セブンネットショッピングのときと同様、公開していないはずのページが認証なしで入れることからGoogleのクローラーに拾われ、検索対象にされてしまったことから発覚したものだ。
IDやパスワードを入力しなくても入れるページは多くあるにせよ、そこに個人情報が表示されているのだから大問題だ。ましてや社会への第一歩となる、新卒学生の就職活動サイトだ。大学生の氏名・メールアドレス・電話番号、応募先企業などが見放題。Cookieなしにフォームに入力されている情報まで表示されるありさまで、作り手側のモラルのなさに唖然とした。
発覚から半日ほど経過して、メンテナンスに入り対策がとられたようだが、そのIRが酷い。
タイトルが「不正アクセスによる個人情報漏洩に関するお知らせ」。もうね、不正アクセスを拡大解釈しているようで理解できない内容。少なくとも不正アクセス禁止法の構成要件にもなりゃしない。自分が被害者だと言いたいつもりなのだろうけれど、IDやパスワードなしに閲覧できるサイトは不正アクセス禁止法にはひっかからない。重大な過失のあるサイトを運営しているのはエン・ジャパン。
被害者は応募学生。加害者はエンジャパン。どうもこの構図がわかっていないようで、情報リテラシーの低さにあきれる。
まぁ、発覚からIRニュースの掲載まで速やかだったのは評価しようと思う。
セブンネットショッピングは未だ昨年末の個人情報漏えい事件を認めていない企業ですからね。
5月26日追記:
下記のお知らせが5月24日付で掲載されていました。原因は特定できたようですし、不正アクセスではない事がわかったようですので、当事者以外の人は納得できたでしょう。
情報漏洩に関する調査結果及び今後の対策について
