お知らせ

2022.11.11
お知らせ
「OfferBox」システム設定不備に伴うお詫びとお知らせ

当社が提供する就活支援サービス「OfferBox(オファーボックス)」(以下「本サービス」といいます。)において、システムの設定不備に伴い、利用企業様の本サービス利用画面上で、利用学生様の氏名が当社の意図しない態様で表示される不具合が生じていたことが判明いたしました。

 

利用学生様や利用企業様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

 

本件事象の詳細及び当社によるシステム設定不備への対応状況等につきまして、下記のとおりご報告申し上げます。

 

 

1.本件事象の概要

本件は、システム設定不備により、本サービスの①「かんたん日程調整」機能及び②「内定承諾報告」機能において、利用企業様が一定の操作を行った場合に、利用企業様の本サービス利用画面上で、利用学生様の氏名が当社の意図しない態様で表示される不具合が生じていたものです。
以下、「かんたん日程調整」機能における事象を「本件事象①」、「内定承諾報告」機能における事象を「本件事象②」といい、各事象の概要についてご報告申し上げます。

 

(1)本サービスにおける利用学生様の個人情報の取扱い

本件の前提としまして、当社は、利用学生様に、新規登録をして頂く際、その個人情報を利用企業様に提供する旨などを定めた「プライバシーポリシー」、「個人情報取得に係る明示事項」及び「利用規約」に同意頂いております。
 
ただし、実務上は、当社は、利用学生様が、利用企業様による個別連絡の申込(※)に承諾しない限り、個人を特定できる情報(具体的には、氏名・電話番号・住所等)は利用企業様に開示しないこととし、その旨を本サービスのヘルプページ内及び利用学生様の新規ユーザー登録ページにおいて告知しております。
 
(※)本サービス上、利用企業様は、利用学生様の同意のもと本サービス上で公開された利用学生様のプロフィール情報を通じて、面接等の採用選考を開始するために、利用学生様に対し、個別に連絡を取り合うための申込をします(本サービス上「オファー」と呼称されているものを指します。)。なお、プロフィール情報には、氏名・住所・電話番号・メールアドレスといった情報は表示されませんが、プロフィール写真・学校名(学部名)・性別・在住都道府県・最終ログイン日・アピールポイント・自己PRの一部が表示されます。

 

(2)本件事象①の概要

利用企業様が、「かんたん日程調整」機能(※)を用いて利用学生様のリストを表示した際、本来は利用企業様による個別連絡の申込を承諾した利用学生様のみ氏名が表示されるべきところ、個別連絡の申込を辞退した利用学生様の氏名も表示されていた事象です。

 

(※)「かんたん日程調整」は、利用企業様が、個別連絡の申込を承諾した利用学生様の氏名・電話番号・住所等が集約されて記載された「学生リスト」を利用し、面接などの日程調整を簡易に行うことを目的とした機能です。
 

(3)本件事象②の概要

利用企業様が、「内定承諾報告」機能(※)を用いる際、利用学生様の内定受諾を当社に報告するウェブページ画面にてURLの一部を意図的に変更した場合、個別連絡の申込を承諾していない利用学生様であっても、当該画面の所定欄に、その氏名が自動的に表示されていた事象です。

 

(※) 「内定承諾報告」機能は、利用企業様が、ウェブページ画面にて、利用学生様の内定受諾を当社に報告する機能です。当該画面では、内定受諾に至った利用学生様の学生ID・氏名・大学名が内定承諾画面の入力欄に自動的に入力される入力補助機能が設定されており、そのURL末尾には利用学生様の学生IDの数字が表示されるところ、当該数字を意図的に変更すると不具合が生じる設定となっておりました。
 

2.本件事象の経緯

本件事象の発覚及び対応の経緯は以下のとおりです(いずれも令和4年)。

 

10月19日 利用企業様から、「かんたん日程調整」の学生リストに氏名が表示されている利用学生様であるものの、連絡先に関する情報が閲覧できない利用学生様がいる旨の問い合わせがありました。当該連絡を受けて社内で調査したところ、本件事象①が発覚しました。

10月20日 本件事象①のシステム設定不備を解消しました。

10月23日 本件事象①について個人情報保護委員会及び一般社団法人関西情報センター(KIIS)に速報を行いました。

10月24日 本件事象①のシステム設定不備の影響を調査する過程で、本件事象②が発覚しました。

10月25日 本件事象②のシステム設定不備を解消しました。

10月26日 本件事象②について個人情報保護委員会及び一般社団法人関西情報センター(KIIS)に速報を行いました。

11月8日 当社において、本件事象と同様及びそれ以外のシステム設定不備がないことを調査・確認しました。

 

3.漏えい等が発生し、又は発生した可能性のおそれがある個人データの項目

利用学生様の氏名(本件事象①・②共通)

 

4.漏えい等の原因

利用企業様の本サービス利用画面上で、利用学生様の氏名が当社の意図しない態様で表示されるシステム設定がなされ、当該設定不備について点検を行う体制が整備されていなかったことが原因であると考えています。

 

5.漏えい等が発生し、又は発生したおそれがある個人データの件数

(1)本件事象①:

対象者の範囲を特定するためのデータが完全には残っていないため、対象者数の正確な特定ができませんが、理論上の最大値は、利用企業様からの個別連絡の申込を受けて辞退した利用学生様の総数である約49万人(※)となります。

 

(※)「かんたん日程調整」機能をリリースした平成29年2月23日以降に本サービスを利用し、利用企業様からの個別連絡の申込を受けた上で、辞退した利用学生様の総数であり、実際に利用企業様が閲覧した利用学生様の総数と一致するものではありません。また、調査の結果、現時点までに、利用学生様の氏名を実際に閲覧した可能性のある利用企業様は、利用学生様1人あたり平均して約7社であることが判明しております。

 

(2)本件事象②:

29人(※)

(※) 利用企業様の操作ログにより確認しております。

6.二次被害又はそのおそれの有無

本件事象によって誤表示されたのは利用学生様の氏名に限られ、利用学生様の氏名を閲覧できたのは利用企業様に限られます。利用企業様以外の第三者に利用学生様の氏名が流出した事実は確認されておりません。さらに、当社は利用企業様との間で、利用学生様の個人情報を安全に管理頂くようにお願いしております。
そのため、本件事象による二次被害のおそれはないものと考えております。

 

7.本人への対応の実施状況

本件事象の対象となる可能性があり、当社が連絡先を把握している利用学生様に対しては、本件事象について個別に通知文を送付させて頂いております。ただし、当社にご提供いただいた連絡先と利用学生様の現在の連絡先が異なっている場合等には、当該通知が届かない可能性がありますことを予めご了承ください。

8.今後の再発防止策

本件事象に対しては、発覚後ただちに、当社においてシステム設定を見直して不備を解消し、外部専門機関により、本件事象のシステム設定不備が解消されていることの確認を受けております。また、当社において本件事象と同様及びそれ以外のシステム設定不備がないことを調査・確認するとともに、外部専門機関による本サービスのシステムの脆弱性調査を受けております。

 

今後はシステム設定の段階で、個人情報の表示が適切になされることを担保するためのチェックリストの活用、ダブルチェック体制の整備・運用などの社内体制強化を進めるとともに、システムリリース判定基準等の定期確認、内部監査の徹底に努めて参る予定です。
さらに、本件類似の事案に限らず、当社における個人情報の取扱いについて全般的に見直しを行い、個人情報の取扱いの確認・検証体制の強化を検討する予定です。

以上