公益財団法人堺市文化振興財団は9月8日、同財団が運営するチケット販売システム「sacayメイト」の会員情報を元職員が不正に持ち出していたと発表した。
これは同財団の元職員で、同財団が舞台管理運営業務を委託しているさかいステージサービスの従業員が、sacayメイト会員等の個人情報を含むデータを窃取し、個人情報の一部を外部に流出させたというもの。
同財団によると2022年3月に、X(旧 Twitter)及び Gmail を通じて同財団及び同財団職員への誹謗中傷の投稿が始まり、投稿には同財団及び堺市職員、堺市議会議員の個人情報が含まれ、sacayメイト会員情報を窃取したことや、その個人情報の売却・公開を示唆するものもあったため、投稿者の特定について調査を進めていったところ、元職員が関与している可能性が浮上し、証拠収集を継続していた。同財団では2025年6月に、元職員に任意の事情聴取を実施したところ、投稿行為を認め、データを窃取し保持していたことが判明した。
元職員は、同財団による事情聴取の中で、同財団在職中の2020年3月に情報システムからsacay メイト会員情報を窃取したことを、財団退職後の2020年4月頃から2022年4月頃にかけて、同財団がさかいステージサービスに貸与していた端末から情報システムに不正ログインし、同財団職員情報、堺市職員情報、堺市議会議員情報のデータを窃取したことを供述している。
さらに元職員は、窃取したデータと職員名簿をもとに同財団及び堺市職員、堺市議会議員の個人情報を投稿し、外部へ流出させたことを供述している。なお元職員は、窃取したデータ全体については第三者への提供を否認している。
窃取された個人データは下記の通り。
1.sacay メイト会員情報(2020年3月2日時点):37,164名分(延べ人数)
氏名、住所、生年月日、性別、電話番号、メールアドレス
2.財団職員情報(退職者を含む):82名分
氏名、住所、生年月日
3.堺市職員情報(退職者を含む):59名分
氏名、電話番号
4.堺市議会議員情報(元議員を含む):48名分
住所、電話番号、ファックス番号、メールアドレス
外部流出した個人データは下記の通り。
1.2.及び職員名簿を利用
財団職員情報(退職者を含む):92名分
1.3.及び市の職員名簿を利用
堺市職員情報(退職者を含む):63名分
4.を利用
堺市議会議員情報(元議員を含む):48名分
同財団では今後、2020年3月2日以前にsacay メイトに会員登録し、個人データが漏えいした会員を対象に案内を行うとともに、個人データが漏えいした同財団及び堺市職員、堺市議会議員にも案内を行う。
同財団では既に、元職員からデータを回収するとともに、元職員が投稿に使用していたX(旧 Twitter)及び Gmail のアカウント及び投稿を削除させ、その確認を行っている。
同財団では再発防止策として下記を実施するとのこと。
・技術的対策
個人データへのアクセス制限を強化し、データにパスワードを設定。
クライアント運用管理ソフトウェアを導入し、アクセスログの管理・監視、外部記録媒体の使用を制限。
システムの管理者権限パスワードを変更。
・人的対策
セキュリティリテラシーとコンプライアンスの徹底を図るための職員研修を実施。
これは同財団の元職員で、同財団が舞台管理運営業務を委託しているさかいステージサービスの従業員が、sacayメイト会員等の個人情報を含むデータを窃取し、個人情報の一部を外部に流出させたというもの。
データが窃取された時点では、個人データにパスワードを設定していなかったため閲覧が可能であり、かつ外部記録媒体の使用に関する制限が十分に講じられておらず、情報の持ち出しが可能な環境であったことが原因。
同財団によると2022年3月に、X(旧 Twitter)及び Gmail を通じて同財団及び同財団職員への誹謗中傷の投稿が始まり、投稿には同財団及び堺市職員、堺市議会議員の個人情報が含まれ、sacayメイト会員情報を窃取したことや、その個人情報の売却・公開を示唆するものもあったため、投稿者の特定について調査を進めていったところ、元職員が関与している可能性が浮上し、証拠収集を継続していた。同財団では2025年6月に、元職員に任意の事情聴取を実施したところ、投稿行為を認め、データを窃取し保持していたことが判明した。
元職員は、同財団による事情聴取の中で、同財団在職中の2020年3月に情報システムからsacay メイト会員情報を窃取したことを、財団退職後の2020年4月頃から2022年4月頃にかけて、同財団がさかいステージサービスに貸与していた端末から情報システムに不正ログインし、同財団職員情報、堺市職員情報、堺市議会議員情報のデータを窃取したことを供述している。
さらに元職員は、窃取したデータと職員名簿をもとに同財団及び堺市職員、堺市議会議員の個人情報を投稿し、外部へ流出させたことを供述している。なお元職員は、窃取したデータ全体については第三者への提供を否認している。
窃取された個人データは下記の通り。
1.sacay メイト会員情報(2020年3月2日時点):37,164名分(延べ人数)
氏名、住所、生年月日、性別、電話番号、メールアドレス
2.財団職員情報(退職者を含む):82名分
氏名、住所、生年月日
3.堺市職員情報(退職者を含む):59名分
氏名、電話番号
4.堺市議会議員情報(元議員を含む):48名分
住所、電話番号、ファックス番号、メールアドレス
外部流出した個人データは下記の通り。
1.2.及び職員名簿を利用
財団職員情報(退職者を含む):92名分
1.3.及び市の職員名簿を利用
堺市職員情報(退職者を含む):63名分
4.を利用
堺市議会議員情報(元議員を含む):48名分
同財団では今後、2020年3月2日以前にsacay メイトに会員登録し、個人データが漏えいした会員を対象に案内を行うとともに、個人データが漏えいした同財団及び堺市職員、堺市議会議員にも案内を行う。
同財団では既に、元職員からデータを回収するとともに、元職員が投稿に使用していたX(旧 Twitter)及び Gmail のアカウント及び投稿を削除させ、その確認を行っている。
同財団では再発防止策として下記を実施するとのこと。
・技術的対策
個人データへのアクセス制限を強化し、データにパスワードを設定。
クライアント運用管理ソフトウェアを導入し、アクセスログの管理・監視、外部記録媒体の使用を制限。
システムの管理者権限パスワードを変更。
・人的対策
セキュリティリテラシーとコンプライアンスの徹底を図るための職員研修を実施。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)