この度、弊社がセキュアファイル転送サービスとして利用する Progress Software 社の「MOVEit」において、脆弱性が発覚し、弊社が取扱う個人情報を含むデータの一部が不正にアクセスされた可能性があることが判明しました。なお、「MOVEit」の脆弱性については、米国を含めて各報道機関により報じられているとおりです。
弊社は本件を非常に深刻に受け止め、迅速に対応し調査するための措置を講じており、サイバーセキュリティの主要な専門家と協力して、不正な方法でアクセスされたデータを分析・調査いたしました。
皆さまにはご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。
1. 経緯
5 月 31 日(水)、Progress Software 社から、弊社が第三者との情報共有のために使用する、同社のセキュアファイル転送ソフトウェア「MOVEit」において、重大な脆弱性が見つかり、ProgressSoftware 社の多くの顧客企業に影響を与えており、その結果、同システム上で保管されているデータが不正にアクセスされた可能性があるとの警告がありました。これを受け、弊社はこの問題を収め、リスクを軽減するため、外部のフォレンジック調査機関に調査を依頼し、迅速かつ包括的な対応を行いました。また、弊社日本法人においては、速やかに、個人情報保護委員会に本件の報告を行いました。
2. 現在の状況と影響範囲
サイバーセキュリティの専門家の協力のもと、調査を行った結果、MOVEit」のサーバーへの不正アクセスが情報漏えいの原因であると判明しました。また、調査の結果、2018年6月13日から 2023年 5 月 31 日までに弊社が運営する医療従事者専用サイトに任意にアカウントのご登録をいただいた医療従事者(※)及び弊社からヘルスケア、メディカル、サイエンスに関する情報を受け取ることにご同意頂いた医療従事者の皆様並びに 2014 年 2 月 28 日から 2023 年 5 月 31 日の期間中に弊社日本法人に在籍されていた弊社の役職員の皆様に関する以下のデータが流出した可能性があることが判明しました。なお、クレジットカード情報やマイナンバーに関する情報は、漏えいしたおそれはありません。
(※)対象となる医療従事者の方は、2018 年 6 月 13 日から 2023 年 5 月 31 日までに以下の専用サイトに登録された方になります。
https://www.bmshealthcare.jp/
https://www.bmsoncology.jp/
https://www.car-t.jp/
https://www.eliquis.jp/
https://www.empliciti.jp/
https://www.hemapedia.jp/
https://www.orencia.jp/
https://www.sotyktu.jp/
https://www.sprycel.jp/
https://www.yervoy.jp/
■流出した可能性のある個人情報
- 弊社が運営する医療従事者専用サイトに任意にアカウントのご登録をいただいた医療従事者の皆様に関する以下の情報
- 氏名、 勤務先、 勤務先住所、 勤務先電話番号、 E メールアドレス、職業、ハッシュ化されたパスワード - 2014 年 2 月 28 日から 2023 年 5 月 31 日の期間中に弊社日本法人に在籍されていた方に関する以下の情報
- 氏名、生年月日、性別、住所、電話番号、業務用メールアドレス(ご退職された場合は現在は利用不可)
- 弊社に勤務していた情報(入社日、離職日、ジョブグループ、ジョブ ID、役職名、現職・退職に関する情報、職種、担当していた施設の情報、出身地域等に関する情報)
3. 今後の対応
弊社は、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。引き続き、この件についての調査を継続し、皆様へのご迷惑を最小限に止めるべく取り組んでまいります。
また、パスワードを含め、流出した可能性のある個人情報については、ハッシュ化するなど一定の措置を講じており、現時点では二次被害の報告等は受けておりませんが、二次被害を可能な限り予防するべく、弊社が運営する医療従事者専用サイトにご登録をいただいた医療従事者の皆様におかれましては、パスワードの変更手続きをお願いしたく存じます。大変お手数をおかけしますが、ご協力のほど、よろしくお願いいたします。
万が一、身に覚えのない電子メール等が届いた場合には、不審な添付ファイルを開かない、不審な URL リンクをクリックしない等のご対応をお願いいたします。