2025年6月18日、100円ショップ「ダイソー」を展開する「大創産業」社は、顧客や取引先などの個人情報が外部から閲覧可能な状態になっていたことを明らかにした。

問題が発覚したのは2025年4月26日で、外部からの指摘を受けて判明している。
同社によると、社内業務で使用していた「Googleグループ」の設定に不備があり、一部のグループが本来非公開であるべきところ、インターネット上で閲覧可能な状態になっていたというもの。
公開状態は2019年12月9日から2025年4月26日までの約5年4か月間に及び、複数のメールグループが外部から閲覧できる状態だったという。
同社は、流出した可能性がある個人情報の件数を1万件以上と発表しており、対象は以下の通り。

・ECサイトの利用者：計4,498件
氏名、住所、電話番号、メールアドレスなど
・取引先関係者：計4,578件
会社名、担当者名、部署名、役職、電話番号、メールアドレスなど
・中途採用応募者：計698件
氏名、住所、電話番号、メールアドレス、履歴書や職務経歴書など
・従業員：計533件
氏名、性別、生年月日、住所、電話番号、所属、役職、健康保険証、要配慮個人情報など

現時点では、これらの情報流出によるなりすましや不正利用などの二次被害は確認されていないという。
原因は、Googleグループのアクセス権限に関する設定ミスとのことで、本来はグループ内の登録メンバーだけが閲覧できるように設定すべき57のグループが、「公開設定」のまま運用されていたことが詳細な調査で確認された。
この設定不備により、社内外とのやり取りを含む一部のメール内容が、意図せずインターネット上で閲覧可能な状態になっていた。

大創産業は2025年4月26日に問題を確認後、直ちに該当するGoogleグループの設定を「非公開」に変更。
全社的に以下の対策を講じた。
・すべてのGoogleグループで「公開」設定が選択できないように機能制限を実施
・新規グループ作成時は申請と承認が必要なフローに変更

・社員個人によるグループ作成を制限
・個人情報保護委員会への報告を完了
・対象となる関係者への個別連絡を進行中

同社は「情報管理を徹底し、再発防止に努めてまいります」として、社員教育や運用体制の強化を図るとともに、問い合わせ窓口を設置した。

【参考記事】
https://www.daiso-sangyo.co.jp/