転職サイト「doda」、約10万人の個人情報が直近の勤務先企業から閲覧できた可能性 当該サービスは提供を停止(1/2 ページ)
5年間にわたって閲覧可能な状態だったと見られている。
パーソルキャリアは11月7日、転職サイト「doda」の不具合により、個人ユーザーの登録情報の一部が、直近の勤務先企業から閲覧可能な状態となっていたと発表した。
不具合があったのは法人向けサービス「doda Request」。過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったという。
直近の勤務先会社名にアルファベット、数字、カタカナのいずれかが含まれるケースにおいて、システムに登録されている企業名の表記と、個人ユーザーが入力した「直近の勤務先会社名」が一致しない場合、正式な社名表記に関係なく、ブロック機能が作動していなかった。
検索・閲覧画面から個人ユーザーの年齢、性別、居住地(都道府県)、最終学歴(校種・専攻・学校名・学部学科名・卒業年月)、保有資格、普通自動車免許、経験職種、経験業種、スキル、英語力、その他語学、転職回数、海外赴任経験、雇用形態、直近の年収、勤務期間、職務内容、希望業種、希望職種、希望勤務地、転居・転勤可否、希望年収、転職希望時期などが、本来閲覧できないユーザーにも開示されていた可能性がある。ブロック機能が作動せず、閲覧だけでなく、スカウトメールの送信が可能な状態であったことも確認されている。
影響範囲は個人ユーザー9万6338人。2018年8月7日から23年10月31日にかけて閲覧可能だったと見られている。「doda Recruiters」「DMサービス」においては影響はなかったとしてサービス提供を継続している。
なお、「行動履歴情報」を「公開する」と設定していた個人ユーザーは、会員専用ページへの最終ログイン日や受信したプレミアムオファーへの応募有無、レジュメの更新有無なども表示されていた可能性がある。
個人ユーザーの登録情報のうち、「氏名」「生年月日」「都道府県以外の住所」「電話番号」「メールアドレス」「自宅最寄駅」「家族構成」は開示されない仕組みとなっているため、企業から閲覧されてはいないという。また、指定した企業に登録情報が表示されないようにできる「企業ブロック設定」は、ブロックしたい企業を選択する形式だったため、選択した企業には登録情報が表示されていない。
「doda Request」を利用している顧客企業からの指摘で発覚。「doda Request」のサービス提供を停止したうえ、閲覧された可能性がある対象者に11月7日から連絡をしている。「あらゆる利用パターンにおいて、お預かりしている個人情報・機密情報を保護するための検証体制・運用をより強化するよう改善いたします」と再発防止に取り組むとしている。
Copyright © ITmedia, Inc. All Rights Reserved.