ネットマーケティングは2021年8月11日、同社が運営する婚活マッチングアプリ「Omiai」で起こった不正アクセスによる会員情報流出の調査結果と今後の対応策を発表した。調査の結果、同社が契約するクラウドサーバーが不正アクセスを受け、年齢確認書類の画像データが複数回にわたって外部に流出したことが分かった。

 Omiaiへの不正アクセスを巡っては、運転免許証や健康保険証、パスポートといった年齢確認書類の画像データ171万1756件(アカウント数)が外部に流出したことが判明している。現時点で流出した画像データに関連した二次被害などは確認できていない。

関連記事: 婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯

 不正アクセスは2021年4月20日から26日にかけて、同社API(アプリケーション・プログラミング・インターフェース)サーバーを介して、同社が契約するクラウドサーバーに対して行われた。不正アクセスの方法は「マルウエア感染やシステム脆弱性を突いたものではなく、正規のデータリクエストを装ったものであった」(同社)ため、発見までに時間を要したという。

Omiaiに関するシステム構成図と不正アクセスの経路
Omiaiに関するシステム構成図と不正アクセスの経路
(出所:ネットマーケティング)
[画像のクリックで拡大表示]

 Omiaiに関しては、会員情報の保存期間を「退会後一律10年間」としていたことが一部で批判を浴びた。同社は今回、年齢確認書類の画像データについて、同社に提出後72時間で自動削除し、会員の個人情報データも退会後90日間の保存にとどめる方針を打ち出した。2021年12月1日から運用を始める予定だ。

関連記事: 婚活アプリ「Omiai」171万件情報流出の教訓、顧客データの保管期間が焦点に

 会員情報の保存期間の変更に当たっては、利用規約やプライバシーポリシーの改定案をアプリを通じて会員に事前通知し、同意を得たうえで運用を始める。既にOmiaiを退会した旧会員の年齢確認書類画像データや個人情報データの完全削除も12月1日から順次実施していく。

 ただし、外部に流出した約171万件の顧客の年齢確認書類画像データや個人情報データに関しては、二次被害が発生した場合の事実確認などの観点から「現時点で直ちに削除を行うことは困難」(同社)との結論に至った。同社が保管する必要性がないと判断できた時点で、速やかに削除するとしている。これらのデータは暗号化し、Omiaiのデータベースとは異なる、外部インターネットから遮断したサーバーに保存する。