行政サービスの共通認証「GビズID」で他社個人情報を取得できる不具合

デジタル庁が運用する共通認証サービス「GビズID」において、自社以外の関係ない利用者情報を取得できる不具合が発生した。

同サービスは、ひと組のIDとパスワードでさまざまな行政サービスへログインすることができる事業者向けの共通認証サービス。

同庁によれば、利用者が自社の利用者情報を取得しようとすると、他社の個人情報が取得される状態だった。3月28日15時ごろに利用者が自社の利用者情報を取得しようとした際に不具合へ気がついた。

同様の問題は2件発生しており、1社では231人分、別のもう1社では31人分の関係ない個人情報が取得された。氏名や勤務先住所、電話番号、生年月日、メールアドレスなどが含まれる。

特定条件下で利用者情報の取得機能に不具合が発生していたものと見られる。同庁では利用者情報の取得機能を停止した。

他社の利用者情報を取得した企業に対しては、謝罪したうえで取得した情報の削除を依頼。他社に利用者情報を取得された企業には経緯の説明と謝罪を行った。今後はシステムの不具合に関するチェック体制を強化するとしている。

（Security NEXT - 2022/03/31 ） ツイート

PR

関連記事

マイナンバー文書を誤廃棄、保存期限の設定ミスで - 上三川町
個人情報流出の可能性、委託先のゼロデイ攻撃被害が影響 - 法政大
参議院選の選挙人名簿が記録された記憶装置を紛失 - 仙台市
認証コード記載ハガキを指定とは異なる住所へ誤送付 - 多摩テレビ
事業者向けイベント出展案内メールで誤送信 - 宇部市
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
学生ポータルで不具合、想定外の認証でアクセス可能に - 東経大
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破
IIJ、メールサービス侵害の調査結果を公表 - 全契約の約9％に影響