ビジネスジャーナル > 企業ニュース > doda、機能不備が相当ヤバい理由
NEW

doda、機能不備が相当ヤバい理由…現勤務先に転職活動や応募先がバレる

文=Business Journal編集部、協力=山口健太/ITジャーナリスト
【この記事のキーワード】, ,
doda、機能不備が相当ヤバい理由…現勤務先に転職活動や応募先がバレるの画像1
dodaのHPより

 転職サイト「doda」で不備があり、現在および過去の勤務先など直近の勤務先からユーザの個人情報や転職活動の状況が閲覧できる状態になっていたことがわかった。悪質な企業が現社員または過去に在籍した元社員の転職活動を妨害できた可能性もあり、dodaのサービスへの信頼が揺らいでいる。

 求人数20万件以上と転職サイトとしてはトップクラスの数を誇り、「2023年オリコン顧客満足度調査 転職エージェント 20代」で1位を獲得したdoda。年収や休日、残業時間など細かい条件を設定して求人を検索することができ、他社の転職サイトに掲載されていない求人が多いことから、転職活動を行う際に「とりあえずdodaに登録する」ことから始める人も少なくない。

 そんなdodaで起きた今回の不具合。運営元のパーソルキャリアの発表によれば、法人向けサービス「doda Request」において、企業データベース(DB)と個人プロフィールの突合プログラムの設計に不備があり、「ユーザが入力した直近の勤め先」と「システム上の登録社名」が全角・半角・大文字・小文字含め完全に一致していなければ、個人ユーザが設定した特定の企業からプロフィールを閲覧できなくする「ブロック機能」が動作しない状態になっていたという。閲覧可能になっていたのは、個人ユーザの年齢、性別、居住地、最終学歴、保有資格、経験業種・職種、直近の年収、希望年収、海外赴任経験のほか、最終ログイン日や企業から送られてきた応募オファーへの応募の有無、レジュメの更新有無/更新日など。不具合が起きていた期間は2018年8月7日~今年10月31日の約5年間におよび、該当する個人ユーザ数は9万6000人以上に上る。

 パーソルキャリアは7日付けリリースで

<「氏名」「生年月日」「都道府県以外の住所」「電話番号」「メールアドレス」「自宅最寄駅」「家族構成」は開示されない仕組みとなっているため、企業から閲覧されておりません>

としているが、中堅IT企業の人事担当役員はいう。

「このミスは結構ヤバい。特に中小規模の企業に勤めている場合、自分が転職活動をしているという事実のみならず、どこの企業に応募しているのかまでバレる可能性もある。それが原因で人事評価を下げられたり、退職妨害を受けたり、酷いケースでは今の勤務先から応募先企業に連絡されて転職を妨害されるといった被害も考えられる。また、過去に揉めて辞めた企業から、その腹いせに同様の行為をされる可能性もあるだろう。転職を支援するサービスを提供する企業にとって、利用者が転職活動を行っているかどうかという事実情報を外部に漏らさないというのは、もっとも厳守されるべきルール。その基本中の基本が守られていなかったとなれば、ユーザ離れは必至だろう」

テストの体制にも不備があった可能性

  全角・半角・大文字・小文字含め完全に一致していなければブロック機能が動作しない状態になっていた点についてITジャーナリストの山口健太氏はいう。

「会社名にアルファベットが含まれる場合、登記は全角文字になりますが、Webサイトなどでは見栄えを意識して半角文字を用いる会社が少なくありません。そのため、入力ミスを防ぐためにコピー&ペーストを用いた場合でも、判定から漏れていた可能性があります。この機能の目的を考えれば、ユーザの意図しない判定漏れが起きないよう、入力時の表記揺れを想定した取り扱いが求められる場面といえます」

 今回のような不具合はよくあるケースなのか。

「同じシステムの中でも、企業を指定してブロックする機能では会社名と住所のリストから選択する方式を採用しています。この仕組みを流用すればそれほど工数をかけずに表記揺れの問題は回避できたと考えられるだけに、設計に不備があったといえます。また、開発工程においてこうした問題が混入することはよくあるものの、入力の表記揺れはテスト工程で確認すべき最も基本的な項目の1つです。設計だけでなく、テストの体制にも不備があった可能性を示しています」(山口氏)

 ユーザはどのような不利益や被害を被る可能性が想定されるのか。

「ユーザの氏名や生年月日、電話番号などは開示されない仕組みだったとはいえ、直近の勤務先や年齢、勤務期間などから、会社側がその気になれば社内のデータと突合して個人を特定できた可能性があります。このサービスでは転職活動をしていることを知られずにスカウトを待てるのが売りの1つだっただけに、イメージダウンは避けられません。再発防止策など信頼回復の取り組みが求められるでしょう」(山口氏)

 現在、「doda Request」のサービス提供は停止されており、不具合が発生していない「doda Recruiters」「DMサービス」のサービス提供は継続されている。また、指定した企業に登録情報が表示されないようにできる「企業ブロック設定」で選択した企業には登録情報が表示されないため、閲覧されない。パーソルキャリアは再発防止策として「あらゆる利用パターンにおいて、預かっている個人情報・機密情報を保護するための検証体制・運用をより強化するよう改善する」としている。

(文=Business Journal編集部、協力=山口健太/ITジャーナリスト)

山口健太/ITジャーナリスト

山口健太/ITジャーナリスト

1979年生まれ。10年間のプログラマー経験を経て、フリーランスのITジャーナリストとして2012年に独立。主な執筆媒体は日経クロステック(xTECH)、ASCII.jpなど。取材を兼ねて欧州方面によく出かけます。
山口健太

Twitter:@yamaguc_k

doda、機能不備が相当ヤバい理由…現勤務先に転職活動や応募先がバレるのページです。ビジネスジャーナルは、企業、, , の最新ニュースをビジネスパーソン向けにいち早くお届けします。ビジネスの本音に迫るならビジネスジャーナルへ!