トヨタ自動車の子会社トヨタコネクティッドで、顧客約215万人分のデータの一部が誤ってインターネット上で外部から10年近く閲覧できる状態になっていたという記事。
「閲覧できる状態になっていたのはコネクテッドサービス「T―コネクト」や音声認識サービスに2012年1月〜23年4月中旬までに契約した顧客のデータ。13年11月〜23年4月までクラウドサービス上で閲覧できる状態にあった。トヨタコネクティッドが提供する法人向けのドライブレコーダーの車外映像も16年11月〜23年4月まで見られる状態にあった。
クラウド上のデータ取り扱いを点検する過程で判明した。トヨタコネクティッドが顧客データを誤ってクラウド上で公開設定にしていたという。」
「再発防止策としてクラウドの設定を監査するシステムを導入し、運用を監視する仕組みを取り入れる。」
監査法人も、電子化された監査調書をどこか(クラウドもあり得る?)に保存し、リモートワークに対応するよう、外部からのアクセスができるようにしていると思われますが、くれぐれも、決められた監査チームなど以外からのアクセスができるような設定ミスがないようにしてもらいたいものです。
クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて(トヨタ自動車)
「本日時点で把握している事案は以下の通りです。
外部より閲覧された可能性があるお客様情報 車載端末ID*1、車台番号*2、車両の位置情報、時刻
対象となるお客様 2012年1月2日~2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKをご契約いただいたお客様(約215万人)
外部からアクセスできる状態にあった期間 2013年11月6日~2023年4月17日
*1 車載機(ナビ端末)ごとの識別番号
*2 車両一台ずつに割り当てられた識別番号」
