タスク管理ツール「Trello(トレロ)」の情報が、設定によって誰でも見られる状態にある。
企業が扱う個人情報も閲覧可能になっていたことから、4月5日ごろからインターネット上で指摘が相次ぎ、情報の掘り起こしが進む事態になっていた。
多くの場合は、すでに非公開に設定変更されているが、取材されるまで知らなかったという企業も。急ぎ対応が求められる。
●重要事項がなぜ誰でも見られる状態に?
Trelloは、利用者が公開レベルを「非公開」から「公開」まで設定できる。
設定を「公開」としていた場合、利用者やチームのメンバーだけでなく、全世界の人が閲覧可能な状態になってしまう。
採用活動において、志望者の個人情報が閲覧可能になっている企業もあった。
ネット掲示板などでは、Trelloが公開されている企業や団体、個人の情報が多数掘り起こされた。就職活動中の志望者と思われる人のプロフィールや、評価まで流出した。
ほかに、個人の健康診断の結果や、パートナーとのデートプラン、企業が営業をかけている企業のリストまで「丸見え」になっていた。
●「これは個人情報が流出している状態です」
弁護士ドットコムニュースが調べたところ、サービス付き高齢者向け住宅の入居者などの情報が、フルネームで公開されていた。名前とともに、病気の情報までわかるものだった。
問い合わせたところ、運営会社の従業員が1人で利用していた。
従業員は、3年にわたって利用していたが、誰でも見られるようになっていたとは気づかなかったという。「これは個人情報が流失している状態。本人、家族に知られたら大変だった」と非公開に変更した。
変更が反映されると、記者が閲覧していたモニタでも、すぐに見ることはできなくなった。
また、M&Aを手がける企業が、買収・売却対象の管理に利用しているケースでも、閲覧可能になっていた(編集部指摘によって非公開に)。
●内閣サイバーセキュリティーセンターも注意喚起
内閣官房内閣サイバーセキュリティセンター(NISC)のツイッター公式アカウントも注意を呼びかける事態となっている。
Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) April 6, 2021
(続く)
利用者は、速やかに公開設定を確認してほしい。
