第一生命保険株式会社(代表取締役社長:稲垣 精二、以下「当社」)が提供するサービスの1つである「年金通信メール通知サービス」1(以下「本サービス」)について、特定の条件下において、第三者が本サービスの登録者情報(ご登録者の氏名、勤務先名、勤務先部署名、電話番号、メールアドレス)を閲覧できる可能性があることが判明しました。
本サービスにおいて登録者情報を閲覧できる可能性がある機能は現在停止をしており、また現時点で本件に関わる個人情報の流出は確認されておりません。
ご利用の皆さまをはじめ、お客さま、お取引先さま、関係者の皆さまには、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。
1.事案の概要・経緯
5月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。即時に社内調査を行ったところ、指摘のとおり、特殊な手順によりアクセスした場合、一時的に、ご登録者の「氏名」「勤務先名」「勤務先部署名」「電話番号」「メールアドレス」の項目が閲覧できる可能性があることが判明しました。
当社では、外部専門機関の協力のもと、同日 18 時、本サービスの登録者情報を閲覧する機能を停止しました。加えて、過去に遡って個人情報流出の可能性について確認するため、脆弱性が存在した期間、脆弱性が利用された形跡について調査を実施いたしました。
2.調査内容・結果
2013 年6月にサービス提供を開始して以降、個人情報流出の可能性のあるご登録内容について確認を実施しましたが、現時点で個人情報の流出は確認されておりません。
なお、第三者が登録情報を閲覧するには、特殊な手順によりアクセスすることが必要となります。アクセスログを確認したところ、この脆弱性が悪用された形跡は検出されておりませんが、一部アクセスログが保有期間を過ぎており、サービス提供期間における全アクセスログの追跡が困難であることから、個人情報の流出の有無を完全に確認することはできませんでした。
3.対応状況
現在停止している機能については、今後再開に向けて準備を進めております。再開にあたってはその旨を本サービスのサイト内でお知らせする予定です。