恋活・婚活アプリ「Omiai」に不正アクセス免許証や保険証などの情報漏洩について。2020年の約7％にあたる流出規模

外部公式サイト：ネットマーケティング
不正アクセスによる会員様情報流出に関するお詫びとお知らせ

久々に大規模な流出がおきましたね。
利用者がどういった対応するかはわかりませんが相当な賠償問題となってもおかしくありません。

運営会社：株式会社ネットマーケティング
疑問点：発表まで3週間
疑問点2：退会済みの情報保持
情報漏洩の規模：2020年の数値で見ると約7％
情報漏洩の規模2：PayPayに次ぐ規模？
情報漏洩の危険性：免許証等の画像データ
過去の個人情報流出における賠償額
お問い合わせ先はこちら
実際の対応はどちらが正解？
6月追記：最終的な調査結果が出る時期は未定
日本プライバシー認証機構から是正勧告への回答公表の再要請を受けていた

運営会社：株式会社ネットマーケティング

株式会社ネットマーケティングがマッチングアプリ「Omiai」を運営しています。

疑問点：発表まで3週間

2021年4月28日15時頃、当社が提供する「Omiai」サービスの会員様情報を管理するサーバーにおいて、意図されていない挙動が観測されたため、直ちに社内点検を行なった結果、法令で確認を義務付けられているお客様の年齢確認書類の画像データに対する不正アクセスの痕跡を発見いたしました。

本来であれば数日以内に対応するのは当たり前ですが、一部メディアではゴールデンウィークの直前であったこと・リモートワークをすすめていて発表に時間がかかったしまったとの報道も。
事実かどうかはわかりませんが相当危ない発言だと思われます。

このようなキャンペーンも今となっては大問題ですね。結果論ですがキャンペーンをやりたいがために、
と間違って捉えられる可能性もなくはないです。

疑問点2：退会済みの情報保持

これは規約でどうなっているかは不明ですが、規約と違った対応をしているとよろしくなさそうです。

え? Omiai さん､なにしてるん･･･
過去分も?! もしかして､退会者の運転免許証とかを消さずにずっと持ってたの？
それは､問題では？https://t.co/fRbk8JKzRh https://t.co/r2TEQm0VqE pic.twitter.com/eyWR6Q3GHJ

— 丸屋正志/まるちゃんLv25 (@M_Maru76) May 21, 2021

情報漏洩の規模：2020年の数値で見ると約7％

171万1千756件分（アカウント数）の年齢確認書類の画像データ
該当期間：2018年1月31日～2021年4月20日

2020年の個人情報の漏えい・紛失事故の件数は2515万47人分だったので、2020年でいう約7％が今回の流出にあたります。

外部サイト：
2020年は2515万人分の個人情報が流出　原因の多くは「ウイルス感染・不正アクセス」

情報漏洩の規模2：PayPayに次ぐ規模？

20年の12月にPayPayが2000万人規模の流出の可能性があるニュースはありましたが、それらに次ぐ規模です。
問題は漏洩内容でした。

情報漏洩の危険性：免許証等の画像データ

年齢確認審査書類ということで以下が当てはまります。
運転免許証、健康保険証、パスポート、マイナンバーカード（表面）等
情報項目：氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種
※クレジットカードの情報は保有していないとのこと。

過去の個人情報流出における賠償額

個人情報流出と賠償額
ローソン：56万件
500円/人×115万(会員全員)=5億7500万円
ベネッセ：3500万件
500円/人×3500万=175億円
omiai：170万件
500円/人×170万=8億5000万円 (推定)

個人情報流出と賠償額

ローソン：56万件
500円/人×115万(会員全員)=5億7500万円

ベネッセ：3500万件
500円/人×3500万=175億円

omiai：170万件
500円/人×170万=8億5000万円 (推定)

— にゃん@ガトー・エシレナチュール (@nyan358z) May 21, 2021

お問い合わせ先はこちら

【お客様相談室】
■お電話でのお問い合わせ
お客様相談センター　TEL：0120-535-850 対応時間AM9～PM6時

■お問い合わせフォーム
https://www.omiai-jp.com/inquiry/question

実際の対応はどちらが正解？

今回のように3週間空くケースは稀だと個人的に感じますが、
詳細調査後に公表なのか、
公表後に詳細を調査なのか、どちらが正解となるのでしょうか。

このような個人情報のリスクはどの企業にも潜んでいるもので、非常に考えさせられるものでした。

6月追記：最終的な調査結果が出る時期は未定

日本プライバシー認証機構から是正勧告への回答公表の再要請を受けていた

日本プライバシー認証機構（JPAC）【TRUSTe】より当社が受けた是正勧告に基づき、6月3日付で、当社から同機構に対して本リリースと同内容の回答書を提出し正式に受領いただいている旨、念のためここにご報告させていただきます。　ネットマーケティング公式サイトより引用

初動対応は怪しかったものの、その後の対応はちゃんとしてるなと思ってました。
が、JPACのリリース見るとそうでもなかったようです。

株式会社ネットマーケティングに対する是正勧告への回答公表の再要請について

本事案につきまして、ネットマーケティング社へ勧告した改善措置への回答を即刻公表するように同社に対し要請致しましたが、
6月4日18時45分時点で対応がされなかったため、再度、即刻公表するよう要請致しましたことをご報告致します。
公表を要請した理由といたしましては、個別のお問い合わせへの対応等では即時性に欠け、現状、ユーザーのご不安・ご心配に対して十分に対応できているとは言い難いためです。

ネットマーケティングのお知らせにも「内容的に個別対応に時間が取られている」とありましたが、
JPACの指摘が最も過ぎてぐうの音も出ませんよ。