マネーフォワード、GitHub不正アクセスによる個人情報流出の精査完了 - 6万2901人分が対象

マネーフォワードは6月23日、ソースコード管理サービス「GitHub」への不正アクセスで個人情報が流出した可能性がある件について、精査が完了したと発表した。新たに顧客や取引先、従業員などの情報が対象だったと判明。流出した可能性のある個人データは、単体では個人を特定できない固有識別子を含めて計6万2901人分に上る。

追加で判明したのは、顧客の氏名またはメールアドレス124人分、取引先の情報28人分、退職者を含む従業員の情報2300人分、顧客の固有識別子6万449人分。従業員の情報には、システム上の固有識別子や氏名、メールアドレス、電話番号が含まれる。固有識別子6万449人分は、利用者を区別するための管理用番号（最大19桁の数字）で、氏名やメールアドレスなどは含まないという。

同社は、顧客情報を格納する本番データベースへの不正アクセスや、本番環境からの情報漏えい、個人情報の不正利用による被害は一切ないと説明。今回の流出はGitHub上のリポジトリに含まれていたものに限られると改めて確認したとしている。二次被害やそのおそれも現時点で確認していない。

再発防止策として、業務端末のセキュリティ統制を強化したほか、認可外の外部サイトやクラウドサービスへのアクセスを遮断する通信統制基盤を導入。開発環境での個人情報の取り扱いに関する社内体制も整備した。本番環境での24時間監視に加え、開発環境でも異常な挙動を検知するリアルタイム監視体制を構築している。

同日付で、個人情報保護委員会と事業所管大臣（金融庁など）に対し、個人データの漏えいに関する確定報告を提出した。対象であることが確認できた個人・事業者のうち、連絡先を把握している相手には個別に案内を済ませたとしている。