Zenn
🦆

doda関連サービスで報告されている情報漏洩事案について眺めてみる

2025/03/23に公開
Security
idea

なぜ作成したのか

  • 少し前の事案だけれど、遡ってみると同じ機能で繰り返しトラブルが発生しているっぽい
  • なんでこんなことになっているだろうと思い経緯を探ってみる

2022年10月31日公表の事案

https://www.persol-career.co.jp/newsroom/news/corporate/2022/20221031_877/

  • 概要: dodaスカウトサービスにおける「企業ブロック設定」機能に不具合があり、特定の条件下でブロック設定を行った企業から個人情報が閲覧可能となっていた。

    • 事象
      • dodaスカウトサービスを利用する個人顧客が、指定した企業に登録情報を表示しない「企業ブロック設定」を行った際、以下①と②の条件を満たした場合、企業のお気に入りリストに顧客情報が表示されたままとなっていた
        • ① 企業Aが、企業ブロック未設定の個人顧客Xをお気に入りリストに登録
        • ② 上記①の後に、個人顧客Xが、企業Aに対して「企業ブロック設定」を行う

  • 発生経緯: 社内システムテストで不具合を検知。(?)

  • 影響: 6,413名の個人情報が閲覧可能な状態となり、期間は2019年12月20日から2022年10月7日まで。

  • 原因: 利用パターンの想定不足による検証漏れ。

  • 再発防止策: 個人情報保護の観点から、開発工程の見直しと徹底検証の実施。

2023年2月21日公表の事案

https://www.persol-career.co.jp/newsroom/news/corporate/2023/20230221_915/

  • 概要: dodaスカウトサービスの「企業ブロック設定」および「直近の勤務先のブロック」機能に不具合があり、特定の条件下でブロック設定を行った企業から個人情報が閲覧可能となっていた。

    • 事象①
      • dodaスカウトサービスを利用する個人顧客に対して、スカウトサービス利用企業が、以下aを行った後、対象となる個人顧客が「企業ブロック設定」を行った場合、「企業ブロック機能」が作動せず、企業のスカウト検討リストに、個人顧客の情報が表示されたままとなっていた
        • a. 企業Aが、企業ブロック未設定の個人顧客Xをスカウト検討リストに登録
        • 上記aの後に、個人顧客Xが、企業Aに対して「企業ブロック設定」を行う
    • 事象②
      • dodaスカウトサービスを利用する個人顧客に対して、スカウトサービス利用企業が以下a・bのいずれかを行った後、対象となる個人顧客が「直近の勤務先」欄を変更した場合、新たに登録した直近の勤務先に対するブロック機能が作動せず、個人顧客の情報の閲覧、およびスカウトメールの送信が可能な状態であった
        • a. 企業Aが、「直近の勤務先」欄に企業Aを登録していない個人顧客Xをスカウト検討リストに登録
        • b. 企業Aが、個人顧客Xにスカウトメールを送付し、送付済リストに登録
        • 上記a・bのいずれかの後に、個人顧客Xが、「直近の勤務先」を企業Aへ変更を行う

  • 発生経緯: 社内システムテストで不具合を検知。(?)

  • 影響: 事象①では8,368名、事象②では145名の個人情報が閲覧可能な状態となり、期間は事象①が2022年2月3日から2023年2月10日まで、事象②が2018年8月7日から2023年2月10日まで。

  • 原因: 利用パターンの想定不足による検証漏れ。

  • 再発防止策: 個人情報保護の観点から、開発工程の体制強化と徹底検証の実施。

2024年9月17日公表の事案

https://www.persol-career.co.jp/newsroom/news/information/2024/20240917_1592/

  • 概要: doda求人広告の販売代理店向けシステムの不備により、採用担当者の個人情報が代理店から閲覧可能な状態となっていた。

  • 発生経緯: 採用担当者が取引のない代理店から営業を受け、自身の情報入手経緯を問い合わせたことで発覚。

  • 影響: 549,195名の採用担当者の個人情報が閲覧可能な状態となり、期間は2018年5月31日から2024年8月30日まで。

  • 原因: システム開発時の仕様検討およびプライバシー確認・検証の不十分さ。

  • 再発防止策: システム開発時の仕様検討およびプライバシー影響の事前審査を強化。

2025年2月5日公表の事案

https://www.persol-career.co.jp/newsroom/news/information/2025/20250205_1716/

  • 概要: dodaスカウトサービス利用開始時に、事前に設定していた「企業ブロック設定」が自動的に解除される不具合があり、ブロックしていた企業から個人情報が閲覧可能となっていた。

  • 発生経緯: 個人ユーザーからの問い合わせを受け、詳細調査を行った結果、不具合を確認。

  • 影響: 1,763名の個人情報が閲覧され、49,486名の情報が閲覧可能な状態となっていた。期間は2016年1月19日から2025年2月2日まで。

  • 原因: スカウトサービス利用開始時のシステム不具合と検証不足。

  • 再発防止策: システム開発における仕様検討と検証体制の強化、および既存システムの点検実施。

所感

  • 2022年10月31日公表の事案、2023年2月21日公表の事案における検出は「社内システムテスト」となっている。社内検出した不具合をちゃんと公表しているのはエライ
  • 2025年2月5日公表の事案については利用者からの問い合わせが起点
  • いずれも原因が想定不足で発生している。多分社内検出で再発防止対策打った時は、ユースケースの洗い出しスコープが狭かったのかなあと想像
  • 直近の事案は利用者からの報告だったが、今回は十分な見直しが図られたのだろうか
  • さらにスカウトサービスについては、2025/04/01に新たなサービスとの連携が発表されている。

https://prtimes.jp/main/html/rd/p/000000817.000022215.html

  • 新たなステークホルダーの登場はあらたな認証・認可の体系の発生なので、新たなリスクを抱えることになるけど、大丈夫なのだろうかと正直不安を感じる
  • 私自身今後転職でお世話になる可能性が十分にあるので、何事もなくサービスインしてほしいものです
GitHubで編集を提案

Discussion

ログインするとコメントできます