代理店向け顧客管理システムの閲覧権限に設定漏れ - 東京海上

同システムには、氏名、住所、電話番号、生年月日、性別、メールアドレス、契約内容、証券番号、保険種類、保険金受け取り者の氏名、保険始期、満期、保険料、契約変更の有無、保険事故の有無といった情報が含まれる。

権限設定に問題が生じていた詳しい期間は不明。勤務型代理店制度を開始した2014年8月より設定ミスが発生していた可能性がある。

同社では、勤務型代理店による権限外のアクセス件数について、ログを用いた複数店のサンプル調査から、約2500件程度と見ている。今後精査を進め、不適切なアクセスが確認された顧客に対しては、統括代理店を通じて順次報告していく。調査については年内に完了する見込み。

設定ミスについては9月14日に修正を終えており、影響があった各社に対して報告を行った。対象となる代理店へヒアリングを進めているが、10月30日の時点で募集などをはじめ、不正利用されたケースは確認されていない。

同社では7月25日に金融庁へ報告しており、今後は権限の設定漏れを防ぐため、勤務型代理店のID設定時に複数部門によるチェックなどを実施し、再発の防止を図るとしている。

（Security NEXT - 2023/10/31 ）ツイート