ダイソー、1万件超の個人情報が漏えいか　Googleグループの設定ミスで

100円ショップ「ダイソー」を展開する株式会社大創産業（本社：広島県東広島市）は2025年6月18日、情報共有サービス「Googleグループ」の設定不備により、同社の顧客や取引先、中途採用応募者、従業員などの個人情報、計10,307件が外部から閲覧可能な状態であったと発表した。

問題があったのは、社内で業務利用していた「Googleグループ」57件の設定で、2019年12月9日から2025年4月26日までの約5年4カ月間、意図せず「公開設定」となっていたことが原因だという。

外部から指摘を受け発覚

大創産業によると、問題は2025年4月26日、外部からの指摘により判明。同社が調査を進めた結果、本来は社内関係者のみで閲覧すべき情報が、「公開設定」によりインターネット上で誰でも閲覧できる状態になっていたことが確認された。

閲覧対象となっていたのは、Googleグループを通じてやり取りされたメール内容で、氏名や住所、電話番号、メールアドレスのほか、一部には口座情報や健康保険証、履歴書といった機微な情報も含まれていた。

流出の可能性がある個人情報の内訳

大創産業が公表したところによると、外部から閲覧可能な状態となっていた個人情報の総数は10,307件にのぼる。対象となったのは、同社のECサイト利用者、取引先、中途採用の応募者、そして従業員である。

まず、ECサイトの利用者に関する情報は合計4,498件あり、そのうち氏名、住所、電話番号、メールアドレスなどの詳細な個人情報が含まれていた件数は4,008件であった。この中には、口座情報を含むケースも49件確認されている。また、住所のみが含まれていた件数は355件、メールアドレスのみであった件数は135件とされている。

次に、取引先に関しては4,578件の情報が流出した可能性がある。これには、会社名や担当者の氏名、部署名、役職、電話番号、メールアドレスといった業務上の連絡先情報が含まれていた。

中途採用の応募者については、698件の情報が対象となっている。このうち615件は履歴書や職務経歴書などの応募書類に関するものであり、残る83件には氏名や住所、電話番号、メールアドレスなどの基本的な個人情報が含まれていた。

さらに、従業員に関しては533件の情報が流出の可能性があるとされている。このうち380件は氏名や性別、生年月日、住所、電話番号、メールアドレス、所属、役職などの基本情報であり、149件には健康保険証の情報が、そして4件には人種・病歴などの「要配慮個人情報」が含まれていたと説明されている。

公開設定から非公開へ　対策を強化

大創産業は、2025年4月26日に問題が発覚した直後、対象となった57のGoogleグループすべてのアクセス権限を「非公開」に設定し直した。加えて、再発防止のための社内ルールの見直しを行い、具体的には、すべてのGoogleグループにおいて「公開設定」を選択できないよう機能に制限をかけたほか、社員が個人の判断で新たなグループを作成することができないよう制御を加えた。さらに、今後グループを新規に作成する際には、上司や情報管理部門による承認を必須とする社内フローが導入されている。

また、情報が漏えいした可能性のある顧客や取引先、関係者に対しては、個別にメールを通じて連絡を行い、事態の説明とともに謝罪と注意喚起の対応を進めている。

今後の展望と課題

再発防止の鍵は、社員のリテラシー向上と継続的な監査体制の構築にある。設定ミスは人的要因によって起こるため、技術的な制限に加え、情報管理に対する企業文化の醸成が求められている。

企業が取り扱う個人情報の量と重要性が増す中、今回のような長期にわたる設定ミスは、ブランドイメージや信用の低下につながりかねない。ダイソーの対応が今後の信頼回復につながるか、注視される。

参照：「Google グループ」を通じた個人情報の漏えいの可能性に関するお詫び（大創産業）