まず初めに、 Microsoft 365 などで事故が起こったわけではないので安心してください。
私の周りで Microsoft が情報漏洩をやらかした。という話が上がってきていたのでちょっと調べてみたのですが、どうも Microsoft 社とエンドユーザーとでやり取りする営業情報が一時的にアクセス権の設定が意図しない形になっていたという話のようです。
こういった内容を調べるにはやっぱり MSRC の情報を見るに限りますね。
というわけで、 2022 年 9 月頃に発生し、 10 月中旬に一般アナウンスがなされた事案のようです。
ここにもあるように、会社名やメールアドレスなどが閲覧可能な状況にあったようです。いやー Microsoft でもこういったこと、あるんですねー。
昔 Salesforce でデフォ設定のまま運用していたら誰でもアクセスできる状態だったという問題が起きたことがありましたが、あれと同様の問題に見えますね。
このブログにも今は使われていない過去の情報ということも書かれているので、過去に利用していた情報が最新のセキュリティポリシーに合致しない形で放置されていたということなのかと思います。もしかすると情報ライフサイクルの運営が始まる前に使わなくなったデータだったのかもしれませんね。
いずれにせよここから得られる教訓は、データのライフサイクルは消失するまでちゃんとチェックが必要ということでしょうね。
身の回りでもシステムの終了とデータの終了のタイミングが異なるケースがあったことを思い出しました。中々に気を付けるのが難しい内容かもしれませんが、情報管理を見直す良い機会かもしれませんので、ぜひ自組織の状況を見返してみてはどうでしょうか。
音楽:Piano Black