News
2021/11/27

個人情報の管理に関する重要なお知らせとお詫び

関係者各位
特定非営利活動法人WELgee 代表理事 渡部カンコロンゴ清花

このたび、NPO法人WELgeeの「難民ホームステイ家族用受け入れ事前フォーム」にご登録いただいておりました一般の方54名の個人情報が閲覧可能な状態にあった事が判明いたしました。本事案に関係した関係者の皆様へ多大なご迷惑をおかけいたしましたことを深くお詫び申し上げます。

事象の概要と原因、拡大防止・再発防止策については以下のとおりです。

1 事象の概要

2017年2月7日 にNPO法人WELgee(下記、弊団体)のFacebookにて投稿されたGoogleフォームのリンク「難民ホームステイ家族用受け入れ事前フォーム」が編集者用リンクとして公開されたままとなっており、当該リンクにアクセスした方が、当該フォームの過去の登録者の個人情報を閲覧できる状態になっておりました。

上記の事象は、2021年10月19日、外部の方よりメールでご指摘いただき発覚したものです(事象の発生時期等については後記)。この度、弊団体においては特に慎重に扱わなければならない個人情報の管理に不備があったこと、及び、それを外部からのご指摘を受けるまで把握できなかったことにより、過去に登録をしてくださった皆様にご心配、ご迷惑をおかけしてしまったことを、弊団体として心からお詫び申し上げます。

2 事象発覚の端緒、及び、事象発生の原因等について

【事象発覚の経緯】

上記フォームは、弊団体が、2016年10月29日から「難民ホームステイ」(難民申請中の方々が日本人家庭に滞在するプログラム。現在は運営しておりません。)のホストファミリーを募らせていただいた際に作成したもので、回答者は難民・難民申請者ではなく、関心をお寄せくださった日本のご家庭です。

当時、回答者用のフォームから回答された方が52名(該当期間:2016年10月29日から2017年11月13日)、また、2017年2月7日付けまたは2017年2月17日付けでFacebookに投稿された内容において誤って公開された編集者用のリンクを介して、編集者用画面においてフォームの内容自体に一部触れてしまった方が2名いらっしゃいました。

なお、当該編集者用リンクについては直ちに削除済みで、現在、外部から当該フォームの編集者用画面へアクセスできる経路はありません。

【事象発生の原因等】

今回の事象発生の原因や経緯については以下の通りです。
弊団体が「任意団体WELgee」として活動をしていた2017年当時は、現在の代表渡部カンコロンゴ清花がフルタイム、学生ボランティアと社会人プロボノの方が合わせて10名ほどの体制で活動をしておりました。SNS投稿の体制につきましては、渡部が責任を持っておりましたが、投稿前にダブルチェック体制を敷けている状態ではありませんでした。

また、翌2018年に、弊団体の活動の主軸は就労伴走事業に移行しましたが(なお、NPO法人化は2018年2月)、難民ホームステイの活動に触れた上記のFacebook投稿は、過去の活動紹介も兼ねて削除しておりませんでした。その結果として、当該リンクが、過去に難民ホームステイについて紹介した投稿内に置かれ、過去の投稿に遡るとアクセスができる状態になっておりました。

3 個人情報流出の有無の確認と、流出拡大、及び、再発防止の各対策の策定

【個人情報流出の有無】

今回の事象において想定しうる被害は、個人情報及びフォーム入力情報(お名前、ご住所、家族構成、ご職業、ご趣味、使用可能言語、ペットの有無、訪問国、宗教(任意)、ホストファミリーに申し込んだ理由、希望受け入れスケジュール、お電話番号、メールアドレスの各項目の一部または全部)の流出ですが、リンク公開日から今回外部の方のご指摘をいただくまでの間に、この事象に関する個人情報流出による被害相談はお寄せいただいておらず、追加の確認作業においても、この事象による被害の発生は現在のところ確認できていません(なお、上記2つのFacebook投稿から当該リンクへのアクセス者を弊団体で特定することはできない状況です)。

【拡大防止策】

2021年10月18日 16:00に外部の方より編集者用リンクが公開されているとご指摘をいただいた後、2021年10月18日16:06に当該リンクを削除いたしました。

また、直ちに同リンクの公開状況を調査したところ、2017年2月7日に投稿されていた別の投稿においても同フォームのリンクが公開されていたため、同様に、当該リンクを2021年10月18日16:10に削除いたしました。

以上、被害の状況を把握した上で、弊団体としては、万が一、個人情報の流出が発生した場合にその拡大を防ぐため、被害に遭われた可能性がある方々、あるいはその可能性に繋がる事象を発見してくださった方々から情報を提供していただく「情報流出に関する問い合わせ窓口」を設置いたしました。心当たりのないメールが届くようになった等、本事象による被害に関連する可能性のある事象にお気づきの方は、こちらの「情報流出に関する問い合わせ窓口」に連絡をいただけると幸いです。

【再発防止策】

今回のような事態を再び起こさないように、WELgeeでは以下2つの再発防止策を行います。

1)フォームのシステム変更

プライバシー保護を強化するために、イベント参加登録や問い合わせに関してGoogleフォームの使用を停止し、より安全なZoho Formsを使用いたします。弊団体が使用する全てのフォームシステムは順次移行を進めており、年内に完了いたします。

Zoho Formsを使用するメリット:

  • Zoho FormsはGoogleフォームとは異なり、弊団体の専用アカウントを所持するユーザーのみがフォームの編集権限を持ちます。そのため、本事象のように一般の方が編集者用の画面にアクセスできる事態は生じません。
  • Zoho Formsは、世界で最も厳しいプライバシー及びセキュリティ法とも言われるGDPR(EU一般データ保護規則)に準拠しており、ユーザーのプライバシー保護を徹底しています。(参照:フォームのセキュリティ https://www.zoho.com/jp/forms/secure-forms.html
  • Zoho Formsの運営会社は、ISO標準に基づくセキュリティ管理システム(ISMS)を実施しています。ISO 27001、ISO27017、ISO27018の認証を取得することにより、各標準の遵守を実証しています。(参照:Zohoのセキュリティに関するよくある質問 https://www.zoho.com/jp/security-faq.html

2)フォームの公開時の確認体制構築・確認の徹底

フォームを一般公開する前の段階で、フォームの作成者と異なる責任者が、閲覧権限、その他セキュリティの脆弱性がないかの確認する体制での運用を徹底いたします。

4 最後に

今回、このような不備事象の発生において、日頃応援してくださっている皆さまにご心配とご迷惑をおかけしてしまったこと、心よりお詫び申し上げます。

難民という境遇におかれた方々に向けたプログラムを運営する特性上、個人情報は通常よりもより一層注意を払い取り扱うべきであることを再度認識し改めてゆきます。任意団体時代を含めると創業から5年経つ現在、より社会的責任を持つフェーズだと考えています。事業を推進すると同時に組織基盤の整備や情報の取り扱いなどに関しても万全な体制で進めて参ります。

今回は、外部の方のご指摘により不備事象に気づくことができましたが、ご指摘を受けるまで把握できなかった体制の未熟さを真摯に受け止めております。団体として心よりお詫び申し上げます。

今なお成長中で至らぬ点も多いかと存じますが、今後も弊団体の活動に対して気になる点や、ご指摘をいただけますと幸甚です。皆さまと共に成長してゆける団体でありたいと思います。改めてお詫び申し上げます。

特定非営利活動法人WELgee 代表理事 渡部カンコロンゴ清花