この度、2025年6月27日に弊社の一部サーバーが第三者により不正アクセスされ、同サーバー内に保存されていたファイルが暗号化されるランサムウェア被害が発生したことをお知らせいたします。
弊社では、ランサムウェア被害の事実を認識した直後より、本件対策本部を設置の上、セキュリティ専門調査会社などの外部専門家の助言のもと、被害の全容把握、被害拡大防止、復旧対応および調査を進めております。また、警察への被害申告・相談を行っております。
本件の原因および漏えいしたおそれのある情報については現時点で調査中となります。被害の全容を把握するには、今しばらく時間を要する見込みですが、新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいります。
お取引先様をはじめ、多くの関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。
引き続き対応中ではございますが、第一報としてご報告とお詫びを申し上げます。
医療大学において、認定看護師教育課程の令和8年度受講希望者向け説明会参加者に、アンケートの協力依頼をメールで送付する際に、誤送信により個人のメールアドレスが漏えいする事案が発生しました。
情報漏えいの対象者に対して、また、県民の皆様の信頼を損ねる事案を起こしてしまったことについて深くお詫び申し上げますとともに、同様の事案が発生しないよう、再発防止に努めてまいります。
認定看護師教育課程の令和8年度受講希望者向け説明会を開催
(参加者:外部の看護師等 61 名)
所属において、説明会参加者に対するアンケートの協力依頼のメールを送付することとなっていたが、担当職員が体調不良により急遽不在となったため、別の職員が代理で対応。その際、全員の宛先を「Bcc」でなく誤って「To」で送信
同日 対応した職員とは別の職員が誤送信に気づき事案が発覚
個人のメールアドレス 61 件
メール送信時に、複数職員による宛先の確認を怠ったため。
発覚当日に、対象者に謝罪するとともに、送信したメールの削除を依頼
・メール送信前の複数職員による宛先の確認を徹底する。
・所属職員に対し、改めて、情報セキュリティポリシーの遵守について周知徹底する。
・メール送信は原則的に担当者が行うものとし、緊急でなければ代理送信は行わないものとする。
本学医学部附属病院において,業務で使用していた個人情報が記録された USB メモリの紛失が判明しました。当該部署において,最後に USB メモリを使用したのは令和 7 年 2 月 25 日(火)であり,使用後は所定の保管場所に戻し,その後は同部署にて保管しておりましたが,3 月 10 日(月)に紛失に気付いたものです。以後捜索を続けておりますが,現時点では見つかっておりません。
USB メモリは当該部署内でのみ使用しており,また,部署外に持ち出すこともないことから,院内で紛失した可能性が高いと考えております。USB メモリに保存されていたデータファイルにはパスワードが設定されており,本日現在,本件によって個人情報が第三者に流出したという情報や不正に利用されたという事実は,確認しておりません。
紛失した USB メモリには,本院で平成 15 年 2 月以降に発生した職員の「針刺し・切創」及び「皮膚・粘膜曝露」の発生状況等に関する以下のデータが保存されております。
(1)針刺し等に関係した患者様 481 名の氏名,カルテ番号,ウイルス検査の結果
(2)受傷した本院職員等延べ 941 名の氏名,フリガナ,職員番号,カルテ番号,性別,年齢等
※「針刺し・切創」とは医療従事者が業務中に,使用済みの注射針などの患者様の血液等が付着した器具を誤って自分の皮膚に刺すなどによって外傷を負った場合,「皮膚・粘膜曝露」とは患者様の血液等が医療従事者の目などの粘膜や損傷のあった皮膚に付着した場合をいいます。
本院では,「針刺し・切創」や「皮膚・粘膜曝露」が発生した場合は,職員の感染予防のため,患者様の同意を得た上で,採血により針刺し等に関係した患者様のウイルス検査を行っております。
今回の事態を重く受け止め,業務で取り扱う個人情報の管理を厳重に行うほか,USB メモリ等の外部記憶媒体の管理に関するルールの周知徹底を行います。また,全職員に対して定期的に個人情報保護に関する研修を行うなど,個人情報の保護対策を一層強化します。
平素よりお世話になっております。この度、弊センターが業務委託している外部の審査員が、2025年4月11日、10社分の審査情報を保管しているPCの利用中に、いわゆるサポート詐欺の被害に遭う事態が発生しました。その後の専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。今回、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、再発防止に努めてまいります。詳細は以下の通りです。
弊センターが業務委託している外部の審査員が、2025年4月11日、トロイの木馬への感染を装った、いわゆる、サポート詐欺の被害に遭い、偽の警告画面に記載されたサポート窓口に電話をし、遠隔操作ソフトをダウンロード・インストールさせられた結果、第三者に当該 PC へのリモート接続を許すことになりました。当該PCには、審査情報(一部の事業者10社様の過去3年度分の審査計画書、審査報告書など)が、含まれておりました。
JARIは審査員には、JARI-RBから情報セキュリティ対策を求めており、この中で、審査が終了した案件に関するお客様の情報は全て消去し個人で保有しないことを求めておりましたが、当該審査員は、終了した審査情報のうち一部の情報を消去しておりませんでした。このためパソコンが乗っ取られた間に、審査中の情報に加え、過去の情報も含め、抜き取られた、もしくは閲覧された可能性がございました。
被害について審査員から速やかに警察に相談するとともに、JARIから個人情報保護委員会に報告しております。
約1か月による専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。
今回このような事態が発生し、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、JARIでは本事案を踏まえて、職員、審査員に対して、お客様の情報管理のルールの厳守と情報機器のセキュリティ対策の実施について周知・徹底を行うとともに、サイバーセキュリティ専門事業者に審査員が直接相談できる窓口を設置する等、再発防止措置を実施してまいります。
この度の事態につきまして、ご不明な点がございましたら、お気軽に下記までお問い合わせください。
今後とも、お客様との信頼関係を築き、より一層のサービス向上と再発防止に努めてまいりますので、何卒ご理解とご協力をお願い申し上げます。
現在判明している不正アクセスの他に、不正アクセスの有無、不正アクセスされた可能性のある情報の範囲・レベル等は確認中です。
また、ファイルサーバへアクセスし初期化が実行されているため、個人情報や機微情報等に影響が及んでいる可能性の有無も含めて影響範囲を調査しております。
当該事案の原因については現在調査中であり、調査が完了次第、再発防止策を講じてまいります。
なお、本件については警察に報告しております。
現時点で個人情報や機微情報の漏洩及び情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等にはご注意ください。万が一本事案による情報漏洩が疑われる場合は、以下の問い合わせ先までご連絡ください。
ソフトバンク株式会社(以下「弊社」)は、弊社の業務委託先である株式会社UFジャパン(以下「UFジャパン」)から、弊社の携帯電話サービス(“ソフトバンク”および“ワイモバイル”)を契約されている個人のお客さまの情報が流出した可能性があることが判明しましたので、お知らせします。
流出した個人情報の件数は調査中ですが、現在判明している限りにおいては、約14万件に及ぶ可能性があります。情報の種類は、氏名、住所、電話番号などです。クレジットカード情報や口座情報、マイナンバーカードに関する情報などは含まれていません。なお、流出した可能性がある情報を用いたお客さまの被害などの事実は、現時点で確認されていません。これを受けて、弊社は2025年6月3日に監督官庁および関係機関へ報告するとともに、警察への相談を進めています。また、弊社の調査の過程において、UFジャパンが弊社の許諾なしに協力会社と契約していたことと、UFジャパンが弊社との契約上のルールに反した情報の取り扱いをしていたことが判明しています。
このたびは、お客さまに多大なご迷惑とご心配をおかけすることになり、深くおわび申し上げます。
弊社は、このような重大な事象が発生したことを真摯に受け止め、個人情報を取り扱う業務委託先に対する管理を強化して再発防止に努め、お客さまに安心していただけるように取り組んでいきます。
2025年3月下旬に、社外の第三者から、弊社のお客さまの個人情報に関して、UFジャパンの事業所内で不適切な取り扱いがされている可能性と、他社の通信事業者のサービス勧誘に利用している可能性があるとの申告を受けました。その後、弊社が調査した結果、下記の事実などが判明しました。
UFジャパンの協力会社を退職したA氏が、2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリーを情報管理端末に接続して、弊社のお客さまの個人情報を持ち出している可能性があることが判明しました(監視カメラの映像で確認)。一方で、弊社の調査に対して、A氏は個人情報の持ち出しについて、記憶にないと主張しています。
従業員B氏が、弊社のお客さまの個人情報を含むファイルをクラウドサービスにアップロードし、弊社の業務に携わっていない3人がその内容を閲覧できる状態になっていたことが判明しました。なお、現時点で、この3人が情報をダウンロードした形跡はありません。
弊社は業務委託先に対してセキュリティールールを定めていましたが、UFジャパンは、個人情報を取り扱うフロアへの社外の第三者の入退室の許容や警備員の未配置など、ずさんな運用を行っていました。さらに、弊社が実施したセキュリティー監査に対して虚偽の報告を行っていたことが判明しています。
件数(現在判明しているもの)
13万7,156件(①13万5,022件、②2,134件)
[注]
※ その他、弊社の社内システム以外で個人を特定することができない、社内の顧客管理番号のみが16万1,132件あったことが併せて判明しています。
“ソフトバンク”および“ワイモバイル”の携帯電話サービス
氏名、住所、生年月日、電話番号、性別、年齢、契約内容(料金プランなど)、サービスの利用に関する情報、社内の顧客管理番号など
[注]
※ ①と②ともに、クレジットカード情報や口座情報、マイナンバーカードに関する情報は含まれていません。
弊社は、UFジャパンが業務で使用していたパソコン全台のフォレンジック調査や、関係者への聞き取り調査、警察への相談などを進め、全容の解明に努めていきます。また、情報の流出の可能性の確認を継続的に行っていきます。
また、UFジャパンに対しては、委託してきた当該業務を5月20日に停止し、6月9日付で当該業務における同社との業務委託契約を解除しました。
本事案に関するお客さま専用の問い合わせ窓口を設置しました。
お客さま専用の問い合わせ窓口
電話番号 0800-111-6636
[注]
※ 受付時間:午前10時から午後7時まで
弊社のコールセンターと、“ソフトバンク”および“ワイモバイル”の取扱店以外からの、個人のお客さまへの営業目的での架電を原則廃止します。架電する場合は、お客さまの明確な承諾を得た上で実施します。
契約サポートなどの営業目的以外で個人のお客さまへの架電業務を行う委託先に対しては、個人情報を取り扱うための環境(設備・運用)を弊社が全て用意し、個人情報の取り扱いを常時監視するなど、より厳格な運用管理を行っていきます。
個人情報を取り扱う委託先に対する緊急監査を進めています。
このたび、当社の社内ネットワークが、ソフトウェアの脆弱性を原因とする不正アクセス(ゼロデイ攻撃※1)を受け、当社が保有するお客様・パートナー様・当社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明しました。本事案の発生により、お取引先様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけすることとなりましたことを深くお詫び申し上げます。
当社では不正アクセスを検知して以降、速やかに外部からのアクセスを制限するなどの対策を講じ、外部の専門機関と協力して侵入経路や影響範囲、原因分析等の調査を進めるとともに、お取引先様とも連携して必要な対応を進めてまいりました。個人情報保護法に基づき、個人の皆様へのご連絡の実施、あるいは準備も進めておりますが、今般、対外公表も併せて行うことといたしました。
2025年3月7日、当社のサーバーに対する不審なアクセスを検知し、直ちにサーバーをネットワークから隔離するなどの必要な対策を実施しました。その後、外部専門家の助言を受けながら影響範囲調査を実施する中で、第三者による不正アクセスの形跡が確認され、当社の社内利用サーバー内に保存されていたお客様・パートナー様・当社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明しました。なお、当社がお客様に提供しておりますクラウドサービスには影響はございません。
不正アクセスの原因については、ネットワーク機器へのゼロデイ攻撃があったことが判明しております。
当社は、情報漏洩の可能性のあるお取引先様に対して、既に個別にご連絡を差し上げており、必要な対応を進めております。個人情報保護法に基づき、お取引先様のご協力のもと、個人の皆様への通知も実施、あるいは準備しておりますが、関係する方々へ広くお知らせする事が必要と判断し、このたび、公表させていただくことといたしました。
当社のお客様、パートナー様及び当社従業員に関する以下の個人情報が一部漏洩した可能性があることを確認しております。
氏名、会社名、所属、役職、会社住所、業務用メールアドレス・電話番号
氏名、業務用メールアドレス(当社貸与の当社ドメインアドレス)
氏名、所属、役職、業務用メールアドレス
本件について、現時点でSNS及びダークウェブで情報が拡散・流通している痕跡は見られず、また、漏洩した個人情報が悪用される等の二次被害も確認されておりませんが、身に覚えのない不審な電話やメールには応じないよう、ご注意ください。
本件については、既に警察への相談・通報をしており、また、個人情報保護委員会に必要な報告を行っています。
併せて、外部専門家の助言も受けながら、不正アクセスを受けた機器に対する隔離・再構築等の適切な対策、及び出口対策強化・ふるまい検知強化等の残存可能性のあるリスクへの対策を講じることで、当社の社内ネットワークは安全な状態を回復しております。
当社は、これまで情報セキュリティの強化に継続して取り組んでまいりましたが、今回の不正アクセスの事態に至ったことを厳粛に受け止め、再発防止に向けて万全を期すよう、セキュリティ対策の更なる強化に引き続き努めてまいります。
(※1)ゼロデイ攻撃:プログラムの脆弱性の存在が公表される前や、修正プログラムがリリースされる前に、その脆弱性を悪用して行われるサイバー攻撃
(※2)過去の契約者/在籍者を含む
このたび、ソフトバンク株式会社様(以下「ソフトバンク社」といいます。)の 2025年6月11日付プレスリリースにおいて公表されました件(以下「本件」といいます。)について、関係各位に多大なるご迷惑とご心配をおかけしましたこと、心より深くお詫び申し上げます。
本件は、弊社がソフトバンク社より受託していた業務(以下「本件業務」といいます。)を再委託していた企業(以下「再委託先」といいます。)の従業員が、
正当な権限を逸脱し、本件業務で取り扱う個人情報を不正に取得又は利用していた可能性がある事案です(以下「本件事案」といいます。)。
本件事案に弊社従業員が関与していないものの情報管理体制が不十分であった結果、重大な本件事案を招いたことを、深く反省しております。
弊社としては、ソフトバンク社の調査に全面的に協力し、本件事案の全容解明、原因と再発防止策を取りまとめてまいる所存ですが、これに加え、現在、以下の対応を進めております。
・弊社と再委託先との契約解除
・情報セキュリティ・コンプライアンス研修の全社的な実施(弊社が別の業務で業務を委託している先に対するものも含みます。)
・情報管理に関する社内規程の見直し等のガバナンス体制の強化
これらにより、今後、二度と同様の事態を起こさぬよう、弊社一丸となって、ガバナンス体制の構築と従業員教育に全力で取り組んでまいります。
最後に、本件事案により、ソフトバンク社はもちろんのこと、別の業務を弊社に委託いただいている多くのお客様の信頼を損ねる結果となったことを、重ねて、深くお詫び申し上げます。