PLAIDロゴ
お知らせ

「Slack」における当社関係者のメールアドレス等漏えいに関するお知らせ

    この度、Slack Technologies Limited( 本社:Level 1, Block A, Nova Atria North, Sandyford Business District, Dublin 18 Ireland )(以下、Slack社とします。)より通知があり、当社がコミュニケーションツールとして採用している「Slack」に関して、ユーザーのメールアドレス等を含むレポートが誤って、Slackを契約する他の米国企業1社に対して一時的に開示されたことが判明いたしました。(以下、本件とします。)

    本件事象はSlack社における手続き上の誤りを原因としており、Slack社からは既に誤って開示された情報の収集は完了し、米国企業の手元には当該データが残っていないことが確認されたとの報告を受けています。なお、ユーザーによる通信内容は当該レポートには含まれていません。

    この度は関係者の方々にご迷惑をおかけしたことをお詫び申し上げます。

    1 本件の概要:

    Slack社より報告を受けて明らかになっている本件の概要は以下のとおりです。

    2022年7月11日、Slack社は、米国企業1社から同社のSlackワークスペースに関する情報提供の依頼を受け、2022年7月18日にレポートファイルを生成し、クラウドストレージを通じて当該米国企業に共有しました。

    しかし、Slack社の手続き上の誤りにより、当該レポートには米国企業ではなく当社のワークスペースの情報が含まれ、共有されました。共有されたファイルは担当者によりダウンロード及び閲覧されましたが、内容が当該米国企業のものと異なるという指摘があったため、Slack社は同日、当該米国企業のクラウドストレージへのアクセス権を停止しました。

    その後、Slack社は、2022年7月27日までに、当該米国企業の担当者にファイルの削除を要請し、完全に削除されたこと、同社内の他の人物に転送していないことを確認しました。

    2022年8月9日、上記発生事実について、Slack社の米国のデータガバナンスチームから日本の当社担当営業に連絡がありました。翌10日に当社担当営業から当社にメールにて当社従業員のメールアドレスを含むレポートがSlack社の他の顧客に共有された旨の案内がありました。

    その後、Slack社における調査により、レポートに含まれるメールアドレスが当社従業員だけでなく、当社に関係する外部の方のメールアドレスを含むこと、また、個人データにかかる本人の数が1,000人を超えるおそれがあることがSlack社で判明しました。このことから、2022年8月18日、Slack社から当社宛にメールにてこれらの事実について追加連絡があり、同日、当社において、1,000件を超える個人データの漏えいのおそれが発生したことを認識しました。当社が当該レポートをSlack社から受領し、その内容を確認したのは2022年8月22日となります。

    2 漏えい等が発生し、又は発生したおそれがある個人データの項目:

    当社のワークスペース作成時点から本件のレポート生成時点までの従業員や取引先など当社関係者のメールアドレス(2,555人分)を含むSlackユーザー名、各ユーザーが参加するチャンネル名、その他Slackが独自に付与する識別子(ユーザーID、チャンネルIDなど)

    3 原因:

    上記1記載のとおり、Slack社における手続き上の誤りにより、当社のワークスペースのレポートが米国企業1社に提供されました。

    4 二次被害又はそのおそれの有無及びその内容:

    上記1記載のとおり、Slack社により、2022年7月27日時点で誤って開示された情報の収集は完了し、米国企業の手元に当該データが残っていないことが確認されています。

    現時点までに二次被害については確認されていません。

    5 その他参考となる事項:

    当社は、2022年8月22日までに当社の監督省庁である総務省関東総合通信局及び一般社団法人日本情報システム・ユーザー協会(JUAS)へ速報としての報告を完了しています。
    また当社は、2022年8月25日に当該レポートに含まれる当社関係者のメールアドレス宛に本件事象に関するメールでの通知を行いました。

    本件に関するお問い合わせは、下記までお願い申し上げます。

    Slack カスタマーサポート feedback@slack.com

    2022年9月7日Slack社から追加報告があったため追記:

    2022年9月7日までに、Slack社から漏えいの原因及び発生事実把握の経緯と再発防止策について、以下のとおり追加報告を受けております。

    漏えいの原因及び発生事実把握の経緯:

    本件では、Slack社が、顧客のSlackワークスペースの利用状況に関するレポートを作成する際に、Slack社内の情報抽出ツールで顧客を特定する情報を誤って入力したため、当社のワークスペース情報を基にレポートが生成されました。

    上記事象の発覚後、上記「1 本件の概要」記載のとおり、Slack社で一連の調査や事実確認及び必要な対策を終えた後、当社に報告がありました。

    再発防止のための措置:

    本件を受けてSlack社からは以下の再発防止のための措置を講じる旨の報告を受けています。

    ・本件に関与した全ての部門に対し、社内通達を出しています。また、レポート作成を依頼する部門に対して、依頼時の注意事項や顧客情報の取り扱いに関する継続的な研修を実施してまいります。

    ・Slack日本事業統括カントリーマネージャーを長とする「情報セキュリティコミッティー」を日本側に新設し、セキュリティ、プライバシー、法務、顧客対応、広報などの責任者をクロスファンクショナルにメンバーとして任命し、迅速なインシデントレスポンス対応ができるよう、社内の関連プロセスを改善いたします。

    ・レポート抽出システムにおいて、人為的エラーを起こさないための調査分析や自動化などの措置を講じる体制を確保し、取り組みを強化し、継続的な改善をはかります。

    以上

    • ホーム
    • ニュース
    • 「Slack」における当社関係者のメールアドレス等漏えいに関するお知らせ