お客様情報の不適切な保管及び流出の可能性に関するお知らせとお詫び（再発防止）

本日、ネオス社にて再度の調査を行いましたところ、本件が原因と思われる被害の報告、情報は確認されておりません。

今回の問題発生に至る主だった要因は、開発者の認識不足等によるオペレーション上の過失、システム環境の公開ポリシーにかかるアクセス制御の問題、発覚まで長期間を要した監視体制等の問題であり、これらの原因は、以下の4 つの問題点にあると判断しました。

1. ログの出力先を機能ごとに分けていたため、管理が煩雑になっていた。
2. ログ設計、システム設定の変更管理が不十分であり、サービスリリース時の変更管理チェック体制に問題があった。
3. 定期的な脆弱性チェックや内部監査実施の際、チェックする観点に不備があった。
4. システム開発担当者に対する個人情報取り扱いの教育が不徹底であった。

以下の対応を行うことで再発防止に努めてまいる所存です。

1. ログの出力先指定に関する措置
   • ログを機能ごとにわけて出力していたが、ログデータの出力先を一元化し、管理の煩雑さが生じないよう変更しました。
   • ディレクトリ構築および構成のポリシー並びにアクセスポリシーを常に関係者間で連携できるようマニュアルを再整備し、変更された内容は一両日中にシステム関係者に展開・共有します。
2. ログ設計・システム設定の見直し、変更
   • ログの保存期間、出力する内容、出力先を変更するため、設計書、設定書、チェックリストに変更内容を反映します。
   • システム改修等時やリリース時に、ログの出力先が適正に配置されていることを、作業者とは別のシステム部門担当者が確認します。
   • ログの出力先設定の間違い、改ざんを検知する仕組みを構築します。
   • システムの設定を変更することで、外部からアクセスを許可するファイルを限定し、かつ閲覧が可能となる公開ディレクトリへのログ出力を禁止とします。
3. 定期的脆弱性チェック、内部監査実施ルールの見直し
   • ログモニタリングの対象、観点、監視体制及び設定内容のチェック観点や方式を見直し、年1回の監査を行います。
4. 社員に対する周知と教育の実施
   • 開発時におけるディレクトリ構築および構成のポリシー、アクセスポリシー、セキュリティポリシー、および今回の事故を踏まえた改正点や再発防止のポイントを含め、ｅラーニングを活用した定期的な研修を行い、社内関係者に周知徹底を図ることとしました。

追記となりますが、上記再発防止策につきましては弊社らと過去に利害関係のない第三者機関のチェックを受け、今回発生した問題とそこから派生する事項に対して、妥当性のある対策が講じられているとの見解をいただいております。

今回のインシデントを受け、改めて本サービスで保有している個人情報に関して、本事象以外にも同様の不適切な保存先がないか調査いたしましたところ、配置・設定に問題がないことを確認しています。

今後は上述いたしました再発防止策を順次行い、2021年4月中旬までに完了するよう努めて参ります。