JTB、観光庁の補助事業で情報漏洩、個人情報を含む事業者の申請書が閲覧可能な状態に、個別アクセス権限を誤設定

観光庁の補助事業者としてJTBが実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」業務で情報漏洩が発生した。JTBは、背景を説明するとともに謝罪した。

JTBは、本来申請する間接補助事業者が自社の申請書以外にはアクセスできない仕様とすべきところ、クラウドサービス内に格納したデータへの個別アクセス権限を誤設定。それにより、事業者の個人情報を含むこの事業への申請書類および補助金交付申請書などの情報が、ログイン権限を持つ間接補助事業者で相互に閲覧可能な状態となっていた。

JTBによると、閲覧可能であった情報のうち、他の間接補助事業者にダウンロードされたデータには、事業者数1698件の申請書、申請事業者及び申請事業者の連携先などを含む個人情報最大1万1483人分が含まれていた（組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレスなど）。ログイン権限を持つ間接補助事業者以外に、個人情報が漏洩した可能性ないとしている。

これを受けて、JTBは、申請書類などの情報が漏洩した事業者に対して謝罪。ファイルをダウンロードした間接補助事業者（18件）に対しては、該当する情報の削除を依頼した。10月25日現在、すべての事業者で削除が完了していると説明している。