複数の日本企業で利用されているがTrello(トレロ)の設定を公開設定のまま利用していた為、複数の就活生の個人情報が流出したようです。流出した個人情報は、大学生の顔写真付き履歴書や住所などで面接担当が顔で採用してた事も見られるとネットで話題になっています。また一部の中央省庁の機密資料や民間の個人情報も公開設定で閲覧で来たものもあったとし被害が拡大しているようです。個人情報の確認方法は下記に記載しておきますので、公開されている方は削除依頼をしてください。
Trello は、世界中で数 100 万人ものユーザーに広く支持されている、 なんでも視覚的に整理できる柔軟な無料プロジェクト管理ツールです。今回の流出の問題の原因はTrello自体のセキュリティーの問題ではなく、利用者が情報共有するために公開設定のまま利用していたことによるものようです。Trelloでは下記の通り中止喚起を行っています。今回の流出はそれを知らなかった企業側の問題になるとおもわれます
ボード設定: 公開
公開のボードは、かなり特殊なケースで非常に有効です。
これらのボードは、同じ会社の社員でなくても、リンクを知っていれば誰でも見ることができると覚えておいてください。これらは公開されたリンクのため、検索結果に表示されることもあります。
ネットリテラシーがアレな企業一覧か…色んな意味でかなりヤバイ案件…
— ダメ協【2021も永遠の17歳】 (@dame_kyo) 2021年4月5日
【情報漏洩】複数の日本企業がTrelloを公開設定のまま利用して個人情報流出、面接担当が顔採用してた事が判明 https://t.co/r2MffMsaha
複数の日本企業がタスク管理ツールTrelloを公開設定のまま利用した結果、就活生の個人情報流出
— 大沢愛 (@ai_oosawa) 2021年4月5日
大学生の顔写真付き履歴書や住所がダダ漏れ
採用・不採用の理由までもが情報漏洩し、面接担当が顔採用していた事まで判明
使いこなせないのに「これからはこのツールを」と導入した挙げ句がこのザマ……
Trelloというサイトの個人情報流出が騒ぎになっている。このサイトに限らず、同様の事件がしばしば起こる。被害者(個人情報の本人)が訴えないから企業も本気で予防しない。勝訴したところで少額だし。米国のようにクラスアクションや懲罰的損害賠償を導入すべき。導入を推進する消費者側の議員不在。
— てんきいろ (@TENKIIRO) 2021年4月5日
口座番号も流出
Trelloの一件ヤバすぎる
— わんちゃん (@wanpidayo) 2021年4月5日
口座情報まで載せてるやつおったわ pic.twitter.com/h1epdTlqA3
Trelloでは公開設定にしている場合Googleの検索エンジンにも登録され検索で表示されるので、本人以外やTrelloを使っていないユーザーでも個人情報などが簡単に閲覧できてしまいます。利用されている方は要注意です!
流出した可能性のある情報
Trelloから流出したもの pic.twitter.com/qZralCm93D
— わんちゃん (@wanpidayo) 2021年4月5日
今回問題視されるようになった原因はフォロワーを10万人持つインフルエンサーが情報の流出を発見しツイッターでツイートしたことで一気にたくさんの方に情報が閲覧されてしまったようです。この設定はさかのぼると2018年ころから公開設定のまま利用されていた企業などは今までも普通に閲覧可能な状態で使用していたことに気が付かなかったようです。中には就活の面接の不採用内容のやり取りや、顔で落としたなど生生しいやり取りも閲覧されてしまったようです。その他大学名や個人の顔写真、住所、電話番号まで誰でも見れる状態でした。少なくとも数万人以上の人は見てしまっているようです。
面接の不採用理由のやりとり
【緊急】日本企業、Trelloを公開設定のまま利用してしまい就活生の個人情報などがダダ漏れ状態 [(ヽ´ん`)★]https://t.co/j7L7Bc2XhR
— PovertyJavelin (@PovertyJavelin) 2021年4月5日
死んだろこれ pic.twitter.com/vW0RPBOJxZ
事細かに面接での不採用理由なども公開設定で誰でも見れる状態だったようです!その他にもたくさんの情報が駄々洩れ状態だったようです
- クレジットカード番号
- 企業の顧客データー
- 楽天銀行の口座とパスワード
- 就職活動の合否や採用情報や顔写真、名前m、履歴書、電話番号
- 企業のパスワード
- さかなクンのマネージャーのスケジュール表
- 橋本岳(厚労副大臣)の後援会のプライベート情報
- オリンピック委員会の案件など
- 生活保護の金額や受給者名
- 風俗店で働く女性の写真入り住所電話番号免許所の写真など
流出した企業名
見てきたけど、採用関連(企業側おもらし/学生が自分のタスク全公開両方)の他にB2Bの担当案件名のToDo管理フルオープンのまじやばたにえん案件あってほんと草
— 外資系OLうさぎのちょこさん (@ChoConejito) 2021年4月5日
【緊急】複数の日本企業さん、Trelloを公開設定のまま利用してしまい就活生の個人情報がダダ漏れ状態に - IT速報 https://t.co/wHg30KLowj pic.twitter.com/eUYBjQrpjh
流出した企業名を見ると損保ジャパン興亜損保やあいおい損保保険、東京海上日動、富士通などの名前も見えました。
流出の確認方法
Trelloに登録している個人情報が流出していないかを確認する方法は「site:」検索する方法で見つけることが可能です。Google検索などに「site:http://trello.com ○○○○」と打ち込むと(○○○○は個人名や企業名や採用管理、生活保護、顔写真などキーワード)インターネット上に公開されているのか確認できます。どんな情報が流出しているのかなどの検索や悪用は絶対にしないでください。※現在は見れなくなっていますが「site:http://trello.com楽天銀行」などで検索するとかなりやばい情報が検索できていました。現在は公開設定から非公開設定に変えているため見れなくなっている物もあります。ただ検索サイトにインデックスされている時点で過去に一度でも公開設定にしてあった可能性が疑われます
検索に登録されている場合の削除依頼
パット見ただけでも就活生の在籍大学名や出身高校、部活サークルなども見れてしまいました。こうした個人情報はGoogleにインデックスされてしまったら情報を依頼すれば削除対象となる可能性のある情報もあります。しかし一度流出してしまうと、拡散されるばかりで、元には戻りません。
- 銀行口座番号
- 国が発行する識別番号
- 機密性の高い個人の医療記録
- 手書きの署名の画像
- 本人の同意なしに共有された、ヌードや露骨な性描写の画像または動画
- 個人情報の盗難、金融詐欺などの重大なリスクを引き起こす可能性のあるその他の情報
情報が上記のいずれかのタイプの場合は、次の手順に進んでください。
削除依頼が出来ない情報
- 生年月日
- 住所
- 電話番号
- 本人、自宅、家族の写りの悪い画像や望ましくない画像(露骨な性描写の画像や本人の同意なしに投稿された画像を除く)
- 最近のけがについてのソーシャル メディアの投稿
Googleに削除依頼する方法