以下、2024/01/09に回答があった事務局からの返信メールを、管理人の独断で要旨を整理したものです。(2024/01/21記)
(「」内は、事務局からの返信メールに記載の文章です)
(()内の緑字の部分は管理人の独断的な意見・感想です)
『TeamHub』メアド流出事件・要旨
《事務局》は今回、何をしたかったのか:
- 「動画配信サービス」
- 「「スーパースポーツゼビオ」「ヴィクトリア」で使用できる特別割引クーポンの配信」
何のためにするのか、目的は:
- 「全国最後発のフルマラソン大会として大会の魅力度を高めるため」
(《とてもありがたい特典動画》配信やクーポンの配布が大会の魅力度を高めるとは思えないが・・)
業務委託について:
- 「ふくい桜マラソン2024に向けた開催準備や機運醸成等につきましては、その業務量や専門性などを考慮し、必要に応じて外部委託を実施」
- 「「ふくい桜マラソン魅力アップ事業(バイタルデータを活用した自己ベストサポート業務)」を、協賛社でもあるゼビオ社に業務委託」
委託先への個人情報の開示について:
- 「委託に際しては、契約書内に個人情報に関する取扱い規程を定め、それぞれの業務履行に必要な範囲で個人情報を開示」
- 「今回の動画配信サービスにつきましても、参加者の皆様に特典動画をお届けすべく、メールでのご案内に利用する限りで個人情報の一部を開示」
- 「ゼビオ社の再委託先であるLS(LinkSports)社が、自社で有するシステムからメール配信」
なぜ「TeamHub」の使用したか:
- 「今回のサービス提供にあたり、動画の版権上、ダウンロードをできないようにするなどの閉鎖的な環境で本大会参加者のみに公開を行いたく、コミュニティアプリでもある「TeamHub」を使用」
委託に際しての前提:
- 「ゼビオ社およびLS社との打合せでは、メールの配信を行う場合は、その都度、文面案を提出させ、事務局の確認を行ったうえで配信を行ってきた」
事件の経緯:
(日時は管理人にメール等がやってきた時間)
- 《招待メール》がやってくる [2023/12/14 18:02]
- 《仮登録メール》がやってくる [2023/12/20 19:13]
「「ご招待メール」のように、ご希望の方が、ご本人の意思によりアプリにご登録いただく運用が必要」だったにもかかわらず、
LS社において参加者の仮登録を事前に勝手に行い、そのあと、本登録を促す《仮登録メール》が配信された。
※「LS社においてそれ(管理人註:文面案を提示の上、事務局の確認)が行われず、仮登録した旨のメールが配信」される。
LS社がこのようなことを行った意図は、
「LS社において、特典動画をより多くの方に見ていただこうと、コミュニティへ参加しやすくするために仮登録を行ったものと聞いて」いる。
「事務局として、そのような指示を行った事実はありませんし、また承認も行って」いない。
※「LS社において、特典動画等をより多くの方に見ていただこうと、事務局に確認することなく、コミュニティへ参加しやすくするための仮登録を行い」《仮登録メール》「を配信したことから今回の事案が発生」した。 - 《新規登録完了メール》がやってくる[2023/12/20 19:17]
「「新規登録完了メール」は、事案①の「仮登録メール」の本文にある本登録承認URLを、配信を受けた方自らがクリックされたことにより、本登録に同意したと認識され、システムから自動的に配信されたものです。」
(《本登録承認URLを、配信を受けた方自らがクリックされたことにより、本登録に同意したと認識され》ることが、ゼビオ社(LS社)からのメールのどこにも記載がない、なんの説明もない。通常クリックした後に、User情報の入力などワンクッションがあったのちに、本登録が完了するのが常識だが、本登録承認URLをクリックしただけで本登録が承認されてしまうとは、全く信じられない。なんでこんな【ネット詐欺もどき】なことをしなければならなかったのだろう?!)(LS社が「特典動画をより多くの方に見ていただこうと、コミュニティへ参加しやすくするため」にやったとの説明だが、まったく訳がわからず理解できない) - このあと《訳の分からないメール多数やってくる》[2023/12/20 21:19 ~ 12/21 13:33]
▪12/20では、コミュニティ内部で作成した《テスト投稿》らしきものがメールで流れてくる。
▪翌日12/21になると、不審な状況を察したコミュニティに参加している方々や参加した覚えもない方々からの返信投稿がメールで管理人あてにやってくる。
▪しかも問題なのは、それらのメールには、送信者のメールアドレスが明示されたままで流れてくる。
▪「「TeamHub」自体は、コミュニティの管理者権限を持つ者しか全参加者のメールアドレスを閲覧することはできません。」
▪「コミュニティの管理ツールとしてのメーリングリスト機能について、送信者のメールアドレスが表示されること自体は、メーリングリストとして一般的な仕様と考えられます。」
(《Teamhub》のコミュニティに参加することが、メールアドレスが明示されるメーリングリストに参加することでもあるとは、どこにもなんの説明もない)
(《招待メール》において、PDFで事前に提供されている《Teamhub》の《利用マニュアル》には《事務局以外の投稿は削除する》との表記がある、ということは事務局以外の一般参加者も投稿できるということだろう、動画配信とクーポンの配信のみがやりたくての《TeamHub》の利用なら、投稿は事務局からの一方向の情報表示のみにして、事務局以外の一般参加者の投稿は不可にすべきだ、もしそういう機能設定ができなければ《TeamHub》は使用すべきではなかったのではないか)
▪「事務局としましては、「TeamHub」の一般的な機能(招待、投稿、動画・写真の共有、通知メール等)について、ゼビオ社およびLS社より説明を受けるとともに、公開されているウェブマニュアルでも個別に確認を行ってい」た。
▪「「TeamHub」のメーリングリスト機能については、事前に事務局に説明されることはなく、またウェブマニュアルでもその存在を確認することはできませんでした。」
▪「「TeamHub」にこのような機能があることが分かっていれば、アプリの仕様を含めた運用体制の検討ができたところであり、大変遺憾に考えております。」
▪「本事案後の調査において、ゼビオ社およびLS社の担当者が当該メーリングリスト機能についての適切なリスク想定・管理を行えていなかったことが判明した」
事件の原因:
- 「ゼビオ社およびLS社において、事務局への事前確認・報告を確実に行っていれば防げたものと考えて」いる。
(なぜ、《事務局》への事前確認・報告、をしなかったのか?しなくても事を進めてしまうことが出来るのが問題だったのではないだろうか?今後のゼビオ社(LS社)の「徹底した再発防止対策の報告」が楽しみだが・・「報告」が大会Web上などに公開されるのだろうか?) - 「「TeamHub」のメーリングリスト機能については、事前に事務局に説明されることはなく、またウェブマニュアルでもその存在を確認することはできませんでした。」
- 「本事案後の調査において、ゼビオ社およびLS社の担当者が当該メーリングリスト機能についての適切なリスク想定・管理を行えていなかったことが判明」
(最大で根本的な原因:委託先のゼビオ社(LS社)を管理、監視、コントロールできなかった、していなかった《事務局》の対応が最大の原因だと思う)
今後の対応:
- 「ゼビオ社(LS社)に対しては、徹底した再発防止対策の報告を求める」
- 「アプリによる動画配信を取り止め、謝罪文および動画配信の方法等を記載した書面につきまして、ゼビオ社(LS社)の負担において、参加者全員への「郵送」でこれを提供するよう指示」
- 「動画の版権について調整を行い特別に許可を得た上で、YouTubeの限定公開機能(URLを知っている方だけが閲覧可能)により、皆様にご視聴いただく予定」
(なぜ最初からそうしなかったのでしょうか??!!) - 「提供予定であった特別割引クーポンに」ついて、「当初予定の割引率より高めて提供するよう併せて指示」
「※クーポンの提供につきましては、ゼビオ社を利するという考え方もありますが、使用するかどうかは個人のご判断であることもあり、皆様のメリットを考慮し、総合的に判断しております」
(管理人個人的には、《ありがたい動画》も見ないし、割引率が高めの《ありがたいクーポン》も使用するつもりもないし、ゼビオで買い物するつもりも、まったくありません)
(2024/1月現在、ゼビオ社は依然大会のブロンズパートナーとなっている。大会の信頼を大いに大いに損なう今回の事件を発生させた責任上、ゼビオ社は自ら大会パートナーから降りるとか、それをしないなら大会側がゼビオ社にパートナーを遠慮してもらうなどの処置をとってもいいのではないかと思う。)
大会本番へ向けて:
- 「大会運営にかかる全ての委託先・再委託先に対し、厳格かつ適切な個人情報の取り扱いの徹底を指示」
- 「事務局との意思疎通を確実に行った上で、大会当日の運営においても、ランナーファーストの目線で、きめ細やかな対応、準備を行うよう指示」
