トヨタ、G-BOOKやG-Link利用者約26万人の顧客情報漏洩の可能性 2015年2月9日～2023年5月12日の期間クラウド環境に外部からアクセス可能な状態

　トヨタ自動車は5月31日、クラウド環境の誤設定による顧客情報の可能性に関する発表に関連し、トヨタコネクティッドが管理するすべてのクラウド環境を含めた調査を行なったところ、さらなる顧客情報を含むデータの一部が外部からアクセスできる状態にあったことが判明したと公表した。

　今回の件も、データ取り扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考え、前回の公表以降、クラウド設定を監視するシステムの導入を完了したとのこと。現在、全クラウド環境の設定調査および、継続的に設定状況を監視する仕組みが稼働しているとした。

　また、データ取り扱いのルール説明・徹底について、再度トヨタコネクティッドと密接に連携して実施するとともに、従業員への教育を徹底することで再発防止に取り組んでいくとした。

　なお、今回の件についても、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておらず、車両位置情報やクレジットカード情報などは含まれていないとのこと。

　今回判明した事案は国内向けサービスと海外向けサービスの2つ。国内向けサービスについては、すでにサービス終了している車載ナビに地図データを配信するシステムにおいて、配信データ作成処理の際に使用していた車載端末ID（車載機［ナビ端末］ごとの識別番号）および、更新用地図データとその作成年月が外部からアクセスできる状態にあったことが判明。外部からアクセスされた場合であっても、これらのデータのみでユーザーが特定されるものではないといい、これらのデータを用いて車両にアクセスしたり、車両に何らかの影響を与えたりすることはできないとしている。

　対象となるユーザーはG-BOOK mX、G-BOOK mX Pro対応ナビで、G-BOOKに契約した人と、G-Link/G-Link Liteの一部の契約者のうち、2015年2月9日～2022年3月31日の間にマップオンデマンドの通信による更新を行なった人の、合計約26万人。

　クラウド環境が外部からアクセスできる状態にあった期間は2015年2月9日～2023年5月12日で、顧客情報は、地図データの配信後、原則として短時間でクラウド環境から自動削除される仕様となっており、上記期間に継続して保管・蓄積していたものではないとしている。

　G-Link/G-Link Liteの対象となる車両は以下の通り。

LS（発売期間：2009年10月～2014年9月）
GS（発売期間：2009年9月～2014年8月）
HS（発売期間：2009年7月～2015年7月）
IS（発売期間：2009年7月～2013年8月）
IS F（発売期間：2007年12月～2014年5月）
IS C（発売期間：2009年5月～2014年7月）
LFA（発売期間：2010年12月～2012年12月）
SC（発売期間：2009年8月～2010年7月）
CT（発売期間：2011年1月～2013年12月）
RX（発売期間：2009年1月～2015年9月）

　海外向けサービスについては、対象となる地域はアジア、オセアニアで、海外販売店向けシステム調査のために、TCがクラウド環境で管理しているファイルの一部が、誤設定により外部からアクセスできる状態にあったことが判明。本件判明後、外部からのアクセスを遮断する措置が実施されている。

　外部からアクセスされた可能性がある顧客情報は、住所、氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車台番号で、対象のユーザーに対して上記すべての情報ではなく、問い合わせファイルにより、上記の一部が含まれているとのこと。

　クラウド環境が外部からアクセスできる状態にあった期間は2016年10月～2023年5月。各国の個人情報保護法および、関連法に従い、各国で対応を進めていくとした。