マネーフォワード、新たに顧客や従業員の個人データが流出した可能性を確認。GitHub不正アクセスの調査を完了

　株式会社マネーフォワードは6月23日、同社で発生していたGitHubへの不正アクセスに関する詳細な調査を完了し、セキュリティ対策強化を行ったことを発表した。

　本件は、同社がシステム管理に利用しているGitHubの認証情報が漏えいしたことにより、不正アクセスが発生したもの。5月1日に第1報を発表し、ソースコードのほか、リポジトリに含まれていたファイルに記載されていた個人情報として、マネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」に関わる370件の「カード保持者名」（アルファベット）と、「カード番号の下4桁」が流出した可能性があるとしていた。

　今回の発表では、新たに次の個人データが流出した可能性があるとしている。

• 124人分の顧客の氏名およびメールアドレス（氏名100件、メールアドレス24件）
• 28人分の取引先に関する情報（氏名5件、メールアドレス23件）
• 2300人分の退職者を含む同社従業員の情報（システム上の固有識別子373件、氏名490件、メールアドレス1807件、電話番号305件）
• 6万449人分の顧客に関する情報（ユーザーIDとは異なる、単体で個人を特定できない固有識別子 6万449件）

　なお、顧客情報を格納している本番データベースへの不正アクセスや、本番環境からの情報流出、個人情報の不正利用などによる被害は一切ないとしている。また、本件における個人情報の流出は、GitHub上のリポジトリに含まれていたものに限定されていることをあらためて確認したとしている。

　同社では再発防止策として、業務端末におけるセキュリティ統制強化、GitHubなどの開発環境における個人情報の取り扱い体制の整備および従業員教育の徹底、開発環境のリアルタイム監視体制構築などを発表している。