セールスフォース社のクラウド製品での権限設定に関する注意喚起

by .
プライバシーマーク指定審査機関

個人情報保護法や特定個人情報(マイナンバー)を所管する個人情報保護委員会より「株式会社セールスフォース・ドットコムのクラウド製品での権限設定に関する注意喚起」が出されましたので概要を紹介します。

㈱セールスフォース・ドットコムが提供するクラウドサービスにおいて、顧客がアクセス権限等の設定のミスにより、個人情報等のデータが漏えいする事故が多発しています。
今回、個人情報保護委員会からは、データの機密性に応じたアクセス権限の設定等、注意すべき項目を完結にまとめたウェブページの紹介もしていますので、同じようなサービスを利用している会員の皆様は是非関連ページを参考にしてください。

株式会社セールスフォース・ドットコムのクラウド製品での権限設定に関する注意喚起

令和3年5月31日
個人情報保護委員会事務局

株式会社セールスフォース・ドットコム(以下、「セールスフォース社」という。)が提供するクラウド型の特定の製品利用において、保存データのアクセス権限が適切に設定されていないことを原因として、個人データが漏えいする事案が昨年末より報告されております。
全てのITサービスを利用する場合、保存するデータの機密性に応じてアクセス権限設定の適切性を継続的に確認する必要がありますが、該当するセールスフォース社クラウド製品を利用している場合は、以下のポイントを参考に保存データのアクセス権限設定を見直し、個人データの漏えいがないよう注意してください。

セールスフォース社クラウド製品であるSalesforceサイト及びCommunitiesを利用してウェブサイトを公開しており、同ウェブサイトに関するデータのアクセス権限が適切に設定されていない場合、公開すべきではない個人データが第三者に閲覧される可能性があります。(※1)
新規会員登録や予約受付などを行うウェブサイトにて、ゲストユーザ(※2)権限で個人データを入力する場合、保存された個人データの所有者権限がゲストユーザに設定されていたことにより、個人データの漏えいが発生した事例等が複数報告されております。
見直すべき権限の設定の1つに、レコードの所有者の設定があります。最新バージョンのSalesforceサイト及びCommunitiesでは、ゲストユーザセキュリティポリシーが強化されており、2020年7月以降にゲストユーザにより新たに作成されたレコードの所有者権限は、ゲストユーザ以外に自動設定されていますが、それ以前に作成されたレコードの所有者権限が自動で更新されることはありません。したがって、利用者において、2020年7月より前に作成されたレコードの所有者権限を確認し、所有者がゲストユーザになっている場合は、所有者を適切な内部ユーザに変更する必要があります。

1…クチコミサイトやFAQなど申込内容を第三者間で共有しても問題ないウェブサイトでない限り、第三者に閲覧されると情報漏えいのリスクがあるため注意が必要です。

2…「ゲストユーザ」(登録・ログインが不要で使用サービスにアクセスできるユーザ)とは、セールスフォース社製品のCommunities, Salesforce Sites (旧称 Force.com Sites),及び Site.com Sitesの製品上に存在するユーザ権限の種別を指します。アクセス権限の設定状況を確認する際には、セールスフォース社が提供する「ゲストユーザアクセスレポート」リンク先コンテンツを別ウィンドウで開きますを使用してください。

また、レコードの所有者権限だけでなく、以下の案内に従って、ゲストユーザのアクセス権限を全般的に見直してください。 ご不明点がありましたら、セールスフォース社にお問い合わせください。

最後に、各ITサービス利用において、事業者がバージョンアップを行う際に公開するリリースノート、重要なお知らせ、ベストプラクティス等に対して、確実な情報収集と適切な対応を行っていただく必要があります。そのため、必要に応じて、バージョンアップ情報収集及び影響確認を行う社内の体制を見直すことや、知識を持った人材の育成、スキル認定資格を持った委託業者にセキュリティ設定の監査を依頼するなどの対応を行ってください。