事件簿2 ログから個人情報が漏洩

図2●外部から参照可能なログ・ファイルに個人情報を記録していた

 次は,人材派遣会社B社の例である。B社のホームページでは,ユーザーからの問い合わせを受け付けるHTMLフォーム*6を用意している。ユーザーが入力した内容は,必要な情報が入力されていることをCGIプログラム*7で確認した上で,B社の担当者にメールで送信するようにしていた。入力項目には氏名や年齢のほか,最終学歴や現在の年収などの個人情報が含まれている。これらはクライアントのIPアドレスや実行時刻などとともに,ログ・ファイルにすべて記録する仕組みになっていた。

 問題となったのは,このログ・ファイルの設置場所である。CGIプログラムと同じディレクトリに保存するようにしていた。すなわち,Webブラウザを使って誰でもインターネット経由でアクセスできる場所に個人情報が放置されていたのだ(図2[拡大表示])。このログ・ファイルの存在は,検索サイトに登録されたことがきっかけとなり,匿名掲示板にも投稿され,広く世間の知るところとなってしまった。

 B社では記者会見を開いて事態をわびるとともに,CGIプログラムを修正してログ・ファイルを外部から参照できない場所に保存することで対処した。

出典:2004年2月号 152ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。