日新火災、代理店向けシステムの顧客情報開示範囲設定誤りにより情報漏えいが発覚

日新火災は、保険の募集・管理で利用するために委託先保険代理店（以下「代理店」）向けに提供しているシステムにおいて、情報開示範囲の設定を適切に行っていなかったことにより、同社の一部の代理店が本来は閲覧すべきではない顧客情報（契約者名および証券番号）を閲覧できる状態となっていたことが判明した。
１．事案の内容
同社では、契約更新が必要となる保険契約の満期到来を管理するための仕組みとして「満期管理システム」、保険契約の内容を確認するための仕組みとして「契約内容照会システム」を代理店に提供している。
両システムにおいては、代理店は自らが取り扱う顧客情報のみを閲覧でき、別の代理店が取り扱う顧客情報を閲覧できないように、情報開示範囲の設定によりシステム上の制限をかけることとしていた。
今般、同社による情報開示範囲の設定誤りによって、更新前の契約を取り扱っていた代理店の「満期管理システム」および「契約内容照会システム」に、同社の別の代理店で同社保険契約を更新した顧客の「契約者名」と「証券番号」が表示される仕様であることが判明した。
なお、閲覧可能となっていた情報に、住所、電話番号、生年月日、口座情報、クレジットカード情報のほか、補償内容、センシティブ情報等は含まれてない。
【満期管理システム（全種目）】
・漏えい情報：契約者名および証券番号
【契約内容照会システム（自動車のみ）】
・漏えい情報：証券番号
２．対応について
判明した情報開示範囲の設定誤りについては、同社でのシステムの修正対応は完了しており、閲覧可能となっていた顧客情報は、現在、閲覧できない状態となっている。また、更新前の契約を取り扱っていた代理店による閲覧の可能性がある顧客については、順次個別に知らせる。
同社は本件を真摯に受け止め、今後同様の事態が発生することのないよう参照範囲の設定誤りが発生しない体制構築およびチェック体制の強化に努めていく。