VTuber「ぶいすぽっ!」運営のBrave group、オーディション応募者1万件以上の個人情報流出 氏名・住所・志望動機・使用SNSなど
VTuberによるeスポーツ事業「ぶいすぽっ!」などを運営するBrave groupは、運営するオーディション企画で個人情報漏えいの可能性があると発表しました。個人情報流出の可能性のある対象者は「ぶいすぽっ!JP オーディション」「Brave group総合オーディション」「HareVare VLiverオーディション」の各オーディションに応募した方です。
個人情報流出は少なくとも1万件。今後追加で発覚する可能性も
今回の発表ではBrave groupのグループ会社である株式会社バーチャルエンターテイメントが運営する「ぶいすぽっ!JP オーディション」の応募者約7,000件と、同じくグループ会社の株式会社ENILISが運営する「HareVare VLiverオーディション」の応募者約1,043件と、同社が直接運営する「Brave group総合オーディション」の応募者約2,610件の合計10,653件としています。また、これらは現時点で判明している情報であり、さらに過去のオーディションでも個人情報が漏洩していたかもしれないとしています。
内容はそれぞれ、氏名や住んでいる都道府県(誤って住所まで入力していた場合は住所)、電話番号、生年月日、使用SNS、志望動機などの書き込んだ内容すべてに及びます。
個人情報流出発覚の経緯はXでの通報から
バーチャルエンターテイメントは、ぶいすぽっ!の常設オーディション企画「ぶいすぽっ!JP オーディション」を運用しており、応募者に対してGoogle Formへの回答を求めていました。しかし6月25日ごろ、X上にて「オーディション応募フォームから応募者7000人分の個人情報が見れる設定になっている」と指摘する投稿が拡散される事態に。これを受け、バーチャルエンターテイメントはオーディションページの公開を停止していました。
上記の事態を受けてBrave groupが調査したところ、Google Formで回答した内容が同Formの編集用URLを知るに至った第三者から閲覧可能な状態だったと判明。編集用URLはオーディションサイトで一般公開しておらず「何らかの形で編集用URLが流出した可能性が高い」と同社は述べています。運用していたGoogle formの編集用URLは、閲覧・編集範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていました。
同社は、流出した可能性として「第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性」「何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性」「不正アクセスにより、編集用URLが流出してしまった可能性」のいずれかが考えられるとしています。
この事態について同社は「6月18日、25日時点で事象に気付いた2人の方からぶいすぽっ!公式XのDMのリクエスト欄で問い合わせがあった」と説明。しかし、リクエスト欄への問い合わせだったため確認が遅れ、25日午後5時1分にX上の投稿が話題になっていると再度連絡を受け、事態の把握に至ったとしています。
業界第三位の急成長企業
同社はエニーカラー、カバーに次ぐVTuber業界3位を公言しており、直近ではシリーズDサードのラウンドで三井不動産とテレビ朝日から出資を受けるなど、大手企業との資本業務提携も盛んに行っておりました。業績や業務が急拡大・急成長する中、個人情報の取り扱いという最も重要な守りの面のガバナンスが追い付いていなかった面も指摘されています。
