弊社が運営する保育施設のうち1園において、使用するパソコンが「なりすましメール」に
よるマルウェアに感染し、パソコン内に保存されていた個人情報が漏洩した可能性を完全に否定できないことが判明いたしました。なお、現在までに、個人情報の漏洩・不正利用等の二次被害に関する報告は受けておりません。
当該保育施設にお通いの在園児様へは、書状にて、6 月 10 日に発生概要とお詫びを、7 月 22 日に途中経過報告を、また8月4日より該当する個人情報に関して順次個別にお知らせをご連絡させていただいております。
弊社保育施設をご利用の保護者の皆様をはじめ、お取引先様、関係者の皆様には多大なるご迷惑とご心配をおかけしますことを心より深くお詫び申し上げます。
1. 概要および原因
弊社が運営する保育施設のうち1園のパソコンにおいて 6 月 8 日、所属自治体担当者と名乗る者より業務連絡を装うメールを受信し、実在の担当者からの業務連絡メールと思い添付ファイルを開きました。その後弊社が委託している外部システム会社より連絡が入り、当該メールがマルウェアを含むものであったことが判明いたしました。
ファイル開封から 9 分後に外部とのネットワークを遮断するなどの対応を実施し、同日、当該外部システム会社にパソコンを持ち込み不正アクセス状況等の調査を開始しました。その結果、当該パソコン上にマルウェアが展開されていることを確認し、大容量のファイルを圧縮、送信した形跡はみられないものの、悪意のある外部サーバとの通信履歴があり、何らかの情報漏洩の疑いを完全に否定できないことが判明いたしました。
なお、当該事案につきまして 6 月 10 日に個人情報保護委員会に届け出いたしました。
2. 漏洩の可能性がある個人情報 (個人情報漏洩の可能性がある対象者)
個人情報の漏洩の可能性が疑われる対象者は 1,178 名であり、内訳としては当該保育施設の在園児様・卒園児様・退園児様及び保護者様、現勤務職員・離職職員、並びに外部第三者の方です。
また、漏洩した可能性のある情報は以下のとおりです。
・氏名・生年月日・性別・住所・電話番号・メールアドレス・病歴・心身の機能の障害等
3.公表の時期について
6 月8日の漏洩懸念から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
マルウェアの感染により漏えいした可能性のある情報の範囲等が不明であったため、調査を続けておりました。当該保育施設にお通いの在園児様、並びに宛先が判明している卒園児様、退園児様、離職した職員及び外部第三者の方には順次ご連絡申し上げておりますが、今般、感染状況の調査結果が明らかになりましたため、公表を行うことといたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
4.再発防止策
再発防止策は以下のとおりです。
- パソコン内の個人情報データの削除(ごみ箱等も含め)及び会社サーバ内又はクラウド上でデータ管理することの徹底
- 会社内で受信した攻撃メールの共有及び注意喚起
- 攻撃メールを受信した際に開封及びクリックしないためのメール取扱い訓練の実施
※会社で作成した攻撃メールを装った訓練用メールを配信
5.対象となる方への対応
当該保育施設にお通いの園児様へは、8月 4 日より書状にてお詫びとお知らせを個別にご連絡させていただいております。また、在籍する職員へも8月4日より直接お知らせとお詫びをいたしております。
また、卒園児様・退園児様および保護者様、離職職員、並びに外部第三者の方にも、宛先が判明している方には全て書状を個別に送付しております。
不審な連絡等があった場合には、当該保育施設および弊社受付窓口までお知らせいただきますようお願いいたします。(なお、本日現在、受付窓口にはお問い合わせはいただいておりません。)