（2024/01/09　21：26　返信あり）

 

①単に『動画』や『割引クーポン』の提供だけなら、WEBやSNSで希望者を募り、希望者のみに限定した動画公開や、デジタルクーポン等を発行すればいいだけの事ではないのでしょうか？WEBやSNSを利用しない・出来ない参加者もいるから、全参加者に告知するためにメール送信を利用したいなら、実績のあるRUNNET（アールビーズ）経由で告知すれば良かったのではないでしょうか？
なぜ、わざわざ参加者全員の個人情報（メールアドレス＋氏名）を委託先(ゼビオ）に開示するというリスクを冒したのか、その理由を教えてください。リスク以上のどんなメリットがあったのでしょうか？

（回答１）-------------
今回、全国最後発のフルマラソン大会として大会の魅力度を高めるため、「ふくい桜マラソン魅力アップ事業（バイタルデータを活用した自己ベストサポート業務）」を、協賛社でもあるゼビオ社に業務委託しておりました。動画配信サービスはこの事業の一環として実施したものであり、ゼビオ社の再委託先であるLS（LinkSports）社が、自社で有するシステムからメール配信を行いました。
ふくい桜マラソン2024に向けた開催準備や機運醸成等につきましては、その業務量や専門性などを考慮し、必要に応じて外部委託を実施しております。その委託に際しては、契約書内に個人情報に関する取扱い規程を定め、それぞれの業務履行に必要な範囲で個人情報を開示しているところであり、今回の動画配信サービスにつきましても、参加者の皆様に特典動画をお届けすべく、メールでのご案内に利用する限りで個人情報の一部を開示しています。その中で、このような事態が生じたことは誠に遺憾であり、ゼビオ社に対し、文書にて厳格かつ適切な管理の徹底および再発防止について強く指示したところです。
なお、ご指摘にあります「リスク」という面では、事務局が発注する全ての委託業務に内在することから、今回の事案を受け、再度、全ての委託先・再委託先において個人情報の厳格かつ適切な取り扱いについて指示を行ったところです。
-------------------------

②なぜ、『動画』や『割引クーポン』の提供のために、今回のメールアドレス流出の直接の原因ともなったスポーツチーム管理アプリ『TeamHub』を利用する必要があったのでしょうか？

（回答２）-------------
今回のサービス提供にあたり、動画の版権上、ダウンロードをできないようにするなどの閉鎖的な環境で本大会参加者のみに公開を行いたく、コミュニティアプリでもある「TeamHub」を使用することとしました。
なお、本事案を受け、動画の版権について調整を行い特別に許可を得た上で、YouTubeの限定公開機能（URLを知っている方だけが閲覧可能）により、皆様にご視聴いただく予定をしています。
-------------------------

③なぜ、仮登録もしてない人に「仮登録のメール」（「事案①のメール」）が来たのでしょうか？
（「LS社が、簡易な作業で登録完了いただくことを意図」とありますが、どういうことを言っているのか全く理解できません。本当にこれが理由なら、LS社のスキルと常識を疑わざるを得ません。あくまで、LS社がLS社にとっての「簡易な作業」を意図したとしか考えられません。事前に「招待メール」が来ることは告知されていましたが、「仮登録されましたメール」が来ることは、まったく告知されていません。）

（回答３）-------------
本来、12/14にお送りした「ご招待メール」のように、ご希望の方が、ご本人の意思によりアプリにご登録いただく運用が必要です。
ゼビオ社およびLS社との打合せでは、メールの配信を行う場合は、その都度、文面案を提出させ、事務局の確認を行ったうえで配信を行ってきたところですが、事案①の配信では、LS社においてそれが行われず、仮登録した旨のメールが配信されることとなりました。
その意図につきましては、LS社において、特典動画をより多くの方に見ていただこうと、コミュニティへ参加しやすくするために仮登録を行ったものと聞いておりますが、事務局として、そのような指示を行った事実はありませんし、また承認も行っておりません。
※上記のとおりですので、当然ながら「仮登録メール」についての告知も行っておりません。
-------------------------

④なぜ、登録した覚えもない人に「新規登録完了のメール」が来たのでしょうか？
（私のところには「仮登録のメール」（「事案①のメール」）は来ていますが、「事案②のメール」は来ていません。「事案①のメール」のあとに、下記のような「新規登録完了のメール」が来ました。もちろん新規登録などした覚えはありません。）

**********
TeamHub運営事務局

新規登録ありがとうございます　 TeamHub
Welcome to TeamHub !
TeamHubにご登録いただき、誠にありがとうございます。

TeamHubは、シンプルでわかりやすい「スケジュール管理」や「スコア入力」ができるスポーツチーム応援アプリです。
アカウント作成を完了いただきましたら、
・チームを管理する方は「チームの新規作成」※1
・チームを紹介・招待された方は「チームの検索・加入」※2
をそれぞれ進めていただくことで、ご利用を開始いただけます！
（以下略）
**********

⑤④の事態は、登録していない人が勝手に登録されたということなのでしょうか？
（もしそうなら、これまた、こんなことをしてしまうLS社のスキルと常識を疑わざるを得ません。）

（回答４）-------------
質問④と⑤について、まとめて回答いたします。
質問④で転載いただいた「新規登録完了メール」は、事案①の「仮登録メール」の本文にある本登録承認URLを、配信を受けた方自らがクリックされたことにより、本登録に同意したと認識され、システムから自動的に配信されたものです。
回答３にもありますように、本来、希望する方が、ご本人の意思によりアプリにご登録いただく運用が必要であるところ、LS社において、特典動画等をより多くの方に見ていただこうと、事務局に確認することなく、コミュニティへ参加しやすくするための仮登録を行い、事案①の「仮登録メール」を配信したことから今回の事案が発生いたしました。
なお、事案②のメールは一部の方にのみ誤って配信されていますので、配信されていない方もおられます。
-------------------------

⑥（登録した覚えのない人が勝手に登録されたと仮定して、その方々も含めて）
なぜ、登録した人たちに、コミュニティ内のメッセージがメールアドレスを閲覧できる状態で配信されてしまったのでしょうか？（これが今回の一番の問題です）
（『TeamHub』がどういうアプリかは知りませんが、『TeamHub』自体が顧客のメールアドレスを裸で放出するという基本仕様を持ってるとは到底思えません・・・「同社（LS社）の人為的なミスが原因」なら、これまた、LS社のスキルと常識を疑わざるを得ません、どうすればこんな人為的なミスができるのでしょうか？《人》が為したのが原因なら、そんな《人》に仕事を任せた《ゼビオ》－《事務局》が責任を取らなければならないと思います。）

⑦「事案③」について「経緯のご説明」は言っています、『ゼビオ社およびLS社を含めた関係者内での導入前テストにおいて、メーリングリスト機能の説明・検証がなく、事案の想定ができないまま業務を遂行したこと、また、事務局においてこれを把握できず、十分に監督できなかったことも原因です』
⑦-1・なぜ、「メーリングリスト機能の説明・検証がなく、事案の想定ができないまま業務を遂行した」のでしょうか？
⑦-2・なぜ、「事務局においてこれを把握できず、十分に監督できなかった」のでしょうか？

（回答５）-------------
質問⑥と⑦について、まとめて回答いたします。
お見込みのとおり、「TeamHub」自体は、コミュニティの管理者権限を持つ者しか全参加者のメールアドレスを閲覧することはできません。
一方、コミュニティの管理ツールとしてのメーリングリスト機能について、送信者のメールアドレスが表示されること自体は、メーリングリストとして一般的な仕様と考えられます。
事務局としましては、「TeamHub」の一般的な機能（招待、投稿、動画・写真の共有、通知メール等）について、ゼビオ社およびLS社より説明を受けるとともに、公開されているウェブマニュアルでも個別に確認を行っていましたが、「TeamHub」のメーリングリスト機能については、事前に事務局に説明されることはなく、またウェブマニュアルでもその存在を確認することはできませんでした。
「TeamHub」にこのような機能があることが分かっていれば、アプリの仕様を含めた運用体制の検討ができたところであり、大変遺憾に考えております。
なお、本事案後の調査において、ゼビオ社およびLS社の担当者が当該メーリングリスト機能についての適切なリスク想定・管理を行えていなかったことが判明したところです。
-------------------------

⑧今回の出来事のシステム的な原因は、「同社（LS社）の人為的なミスが原因」とありますが、LS社の行為は、あまりにもあまりにも程度の低い常識はずれな、信じられないほどのおそまつな内容です。このような行為によって、「ふくい桜マラソン」の信頼は大きく大きく損なわれました。事務局側は、このような行為の原因となった《事務局》も含めての、《ゼビオ》－《LS社》に対しての何らかのペナルティを考えても良いと思うのですが、いかがでしょうか？

（回答６）-------------
ご指摘のとおり、事務局としましても、大切な個人情報を預かる立場として、また業務を委託する立場として、その責任を痛感しております。
今回の事案を受けまして、ゼビオ社（LS社）に対しては、徹底した再発防止対策の報告を求めるとともに、アプリによる動画配信を取り止め、謝罪文および動画配信の方法等を記載した書面につきまして、ゼビオ社（LS社）の負担において、参加者全員への「郵送」でこれを提供するよう指示を行ったところです。
なお、提供予定であった特別割引クーポンにつきましても、当初予定の割引率より高めて提供するよう併せて指示を行っております。
※クーポンの提供につきましては、ゼビオ社を利するという考え方もありますが、使用するかどうかは個人のご判断であることもあり、皆様のメリットを考慮し、総合的に判断しております。
-------------------------

⑨事務局からの今回の「経緯のご説明」は、単に現象面をなぞっただけで、なんらの原因追及になっていません。徹底した原因究明がまったくされていません。こんなところからは、まともな再発防止策など出てくるはずがありません。「委託先および再委託先における厳格かつ適切な個人情報保護の取り扱いを徹底」「事務局におきましても管理・監督を徹底」などという安直な再発防止策で済ましてもらいたくはありません。しっかりした原因究明の上での再発防止策を出してもらいたいです。今回はあくまで《経緯の説明》だから、《説明》で済ますことなく、《しっかりした原因追及にもとづいた再発防止策》を出すべきだと思います。それができなければ、3/31の本番大会のまともな開催はできないと思います。

（回答７）-------------
参加者の皆様に安心して楽しんでいただける大会を目指して準備を進めておりましたが、皆様の信頼を損ねる形となりましたこと、また多くの皆様に多大なるご迷惑、ご不安をおかけしましたことにつきまして、あらためて心からお詫び申し上げます。
今回の事案につきましては、ゼビオ社およびLS社において、事務局への事前確認・報告を確実に行っていれば防げたものと考えており、大変遺憾に考えております。
このため、ゼビオ社をはじめとする大会運営にかかる全ての委託先・再委託先に対し、厳格かつ適切な個人情報の取り扱いの徹底を指示するとともに、事務局との意思疎通を確実に行った上で、大会当日の運営においても、ランナーファーストの目線で、きめ細やかな対応、準備を行うよう指示したところです。
事務局としましても、職員一丸となって、ランナー満足度の高い大会運営となるよう準備に万全を期してまいりますので、何卒、ふくい桜マラソンをよろしくお願い申し上げます。
-------------------------