【セキュリティ事件簿#2023-413】積水ハウス株式会社 弊社委託先企業におけるお客様名等の外部漏えいの可能性について


弊社が換気基礎捨て水切などの製造を委託しております山口金属曲板工業株式会社(本社:大阪市阿倍野区、以下「山口金属曲板工業社」)小郡事業所(山口県山口市)の生産システムサーバーがランサムウェアに感染し、不正に暗号化されたことにより、弊社部品の発注データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。お客様をはじめ多くの関係者の皆さまにご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月 19 日、弊社委託先の山口金属曲板工業社から、同社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になったとの連絡を受けました。サーバー内には、過去 15 年分の弊社部品の発注データが存在しており、当該データの中に、お客様の氏名(一部の方は建築地住所を含む)が含まれておりました。当該データについては外部に漏えいした可能性があります。
  • 生産システムについて代替手段を講じたことにより、弊社委託業務への影響は生じておりません。
  • 本件に関しては、弊社より個人情報保護委員会に報告をするとともに、山口金属曲板工業社より所轄警察署への相談を行っております。

【漏えいした可能性のある情報及びお客様への対応】

漏えいした可能性のある情報の範囲及び項目等につきましては、以下のとおりです。

対象範囲
弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日~2023年 10 月 23 日の間に着工または着工予定のお客様

項目
氏名のみ 109,406 件
氏名及び建築地住所 1,261 件

二次被害の有無:現在、お客様の氏名等の不正利用は確認されておりません。

※弊社発注データにお客様の情報が含まれていることが確認でき次第、順次郵送もしくはメール等でご連絡をいたします。そのため、ご連絡までに時間を頂く可能性がございますが、何卒ご容赦ください。

【原因及び再発防止策】

  • 本件は弊社委託先の生産システムサーバーの脆弱性により、ランサムウェアに感染したことが原因です。当該委託先においては保守ベンダーの変更等のセキュリティ向上施策を行いました。
  • 現在、弊社の生産調達部門の全委託先に対し、システムサーバーに対するウイルスチェックの実施要請を行い、状況の確認を進めております。また、委託先に存在する過去の発注データをネットワーク外で管理することや、データを削除することも要請いたしました。今後、委託先の情報セキュリティに関する監督強化の施策を行い、発注データの仕様変更等の対策を実施しますとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。