Brave groupが約1万件の個人情報漏洩、｢ぶいすぽっ！｣などVTuber応募情報が外部から閲覧可能な状態に

VTuber事業をおこなう株式会社Brave group（読み：ブレイブグループ）は2024年6月25日に個人情報流出した可能性があると発表した。
個人情報流出の可能性のある対象者は「ぶいすぽっ！JP オーディション」「Brave group総合オーディション」「HareVare VLiverオーディション」の各オーディションに応募した方たち。

流出した個人情報は現時点で10,653件

今回の発表ではBrave groupのグループ会社である株式会社バーチャルエンターテイメントが運営する「ぶいすぽっ！JP オーディション」の応募者約7,000件と、同じくグループ会社の株式会社ENILISが運営する「HareVare VLiverオーディション」の応募者約1,043件と、同社が直接運営する「Brave group総合オーディション」の応募者約2,610件の合計10,653件となっている。

今回の発表では現時点で判明している情報であり、過去のオーディションでも個人情報が漏洩していたかもしれない。
今後の調査により、Brave groupから個人情報漏洩した対象者数は変動する可能性があるとのこと。

Brave group個人情報流出の原因

Brave group及び各グループ会社はVTuber事務所であり、VTuberのオーディション応募フォームにGoogle Forms（以下、Googleフォーム）を利用していた。
※ちなみにGoogle Formsが正式名称だが、同社の発表では「Google Form」「Google form」としている。

Googleフォームの編集用URLは回答（今回の場合はオーディション応募者の応募情報）が閲覧することが可能で、「編集用URL」が外部から閲覧できる状態にあったことが原因である。

同社の発表では編集用URLは一般公開されていないので、何かしらの形で編集用URLが流出したと述べている。
しかし流出したとしても、閲覧できない状態にしておけば個人情報は流出していなかったので、根本の原因はヒューマンエラーによる設定ミスではないかとSNS上で声があがっている。

6月18日11:23と6月25日16:28に個人情報流出に気づいた方が、公式X(旧Twitter)にDMで問い合わせしていたが、DMに気づかなかったらしく、問い合わせした方がXでポストし話題になったことから判明したとのこと。

流出した個人情報

流出した情報はオーディションに応募した、応募VTuberの氏名・お住まいの都道府県・電話番号・生年月日・使用SNS・志望動機など。
お住まいの都道府県の欄に誤って住所を入力された方は住所も流出している。

おそらく多くの応募者の方は本名を入力していると思われるので、SNS情報からVTuber活動名と本名と生年月日が発覚してしまうことになる。
一般的な企業の個人情報漏洩と異なり、その名の通りバーチャルなタレント的存在で、熱狂的なファンも多いVTuberで本名と生年月日が知られてしまうのは、今後の活動に影響が出る可能性がある。

Brave groupに出資する企業

Brave groupを知らない方やVTuberに馴染みのない方は、どんな会社かわからないだろうが、Brave groupは多くの名だたる企業から出資を受けている。
Brave groupに出資している主な企業は以下の通り。

※順不同、資金調達発表時の一部情報を抜粋。

Brave groupのプライバシーポリシーと情報セキュリティポリシー

同社は「情報セキュリティポリシー」を公式サイト上で掲げている。
取り組みを完結にまとめると以下のような内容である。

またポリシーでは、しているとのことで、セキュリティ対策や定期的な教育・研修実施、定期的に点検・監査するとしている。

これらのような施策をおこなっていたのであれば、今回のような事件は発生しないと思われるが、同社の発表にあるように、“故意による漏えいや不正アクセスの可能性も十分あり得る”ので、続報を待とう。