【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について


このたび、令和4年度、令和5年度に実施した「ふくしフォトコンテスト2022」「ふくしフォトコンテスト2023」の審査資料について、令和5年12⽉4⽇(⽉)13:00、応募者からの電話により、下記のとおり個⼈情報の漏えいが判明いたしました。

このような事態を招いたことを深く反省し、職員の個⼈情報の適切な取扱いを徹底し、再発防⽌に努めてまいります。

1.漏えい事案の概要

①令和4年度及び令和5年度に実施した「ふくしフォトコンテスト」の審査資料が、インターネット上に流出した。

下記3の審査資料を審査委員に事前送付(データ送信)する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定(限定公開)」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。

②審査委員に事前配布した資料(下記3)に、審査に直接関係のない個⼈情報を掲載していた。

2.主催

 和歌⼭県社会福祉法⼈経営者協議会、和歌⼭県社会福祉法⼈経営⻘年会
 社会福祉法⼈和歌⼭県社会福祉協議会

3.情報漏えいした資料(4点)


4.情報漏えいの原因

■当該システムの機能の誤認識
「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。

■職員の個⼈情報の取扱いに関する認識不⾜
審査委員に対し個⼈情報を掲載した資料を配布していた。

5.対応

  • 漏えいした情報は、本会システム管理業者に連絡し、判明直後(同⽇13:30)に削除しています。
  • 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
  • 再発防⽌策として、当該システム(限定公開機能)を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。

【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告


この度、JBRCホームページの「お問い合わせ」フォーム(https://www.jbrc.com/contact/input/)からいただいた問い合わせメールに添付されていた一部の資料が、インターネット上で閲覧可能な状態になっていることが判明いたしました。関係の皆様に、多大なご迷惑及びご心配をおかけしましたこと、心より深くお詫び申しあげます。

本件に関し、現段階で判明している事実と弊法人の対応についてご報告いたします。

1.経緯


本年11月6日、弊法人の関係先(排出事業者様等)に関する情報がインターネット上で閲覧可能な状態になっているとのご連絡を受けました。弊法人においてかかる状態を確認し、調査の結果、弊法人ホームページ上の「お問い合わせ」フォームから弊法人宛に送信された添付ファイルが閲覧可能な状態であることが判明しました。閲覧可能な状態にあった期間は、2018年6月1日0時頃から2023年11月10日11時頃まで(下記の対応完了時点)となり、かかる期間に送信された添付ファイル数は、約1,100件となります。

2.原因と対応


弊法人ホームページ上の「お問い合わせ」フォームの仕様において、送信された添付ファイルが、外部アクセスのリスクのあるフォルダに保存される状態に設定されていたことが判明しました。弊法人では、即座に添付ファイルが当該フォルダに保存されないように設定を変更しました。また、当該フォルダに保存されていたデータを全件確認し、「お問い合わせ」フォームにより送信された添付ファイルを含む約1,100件のデータを当該フォルダから削除する対応を実施し11月10日11時頃、完了しました。

また、閲覧されたことが確認された添付ファイルの送信者様には、11月17日に「お問い合わせメール情報管理不備についてのお詫び」と題する書簡を送付いたしました。

3.現在の状況とお願い


上記対応により、対応完了時点からの新たな情報流出は確認されておりません。また現時点では、今回の問題による二次被害等の報告は受けておりませんが、お気付きの点やお問い合わせがございましたら、下記のお問い合わせ窓口までお願いいたします。

4.再発防止について


弊法人は今回の事態を重く受け止め、今後は、職員一同、情報管理及び運営に関する意識をより一層高め、情報セキュリティー対策の強化徹底により、再発防止に全力で取り組んでまいります。多大なご迷惑とご心配をおかけしておりますこと重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告


市ホームページ上の農地貸出希望情報の掲載ページ内におきまして、個人情報(氏名、住所、電話番号)を含んだものを誤って掲載してしまっていたことが判明いたしました。

関係者の皆様におかれましては、多大なご迷惑とご心配をおかけすることとなり、心からお詫び申し上げます。

判明の経緯と原因

  • 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
  • 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
  • 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。

個人情報の内容・掲載期間

内容

農地所有者67人分の「氏名、住所、電話番号」

掲載期間

 令和5年10月6日から11月28日まで(54日間)

対応状況

全対象者の方に経過説明を行い、謝罪させていただきました。

二次被害やおそれの有無

現在のところ、悪用されるなどの二次被害の発生は確認されておりませんが、引き続き状況の把握に努めます。本件について何かございましたら農業委員会事務局までご連絡をお願いします。

今後の対応

農業委員会事務局内で複数人でチェックを行い、このような事態が発生しないよう再発防止に努めてまいります。

【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて(お詫びとご報告)


当会が住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において受付フォームの設定ミスにより参加者の個人情報が閲覧できる状態となりました。参加者の方をはじめ関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねてしまいましたことを深くお詫び申しあげますとともに、今後このようなことがないよう再発防止に努めてまいります。

1.概要


住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において、Googleフォームズからの申込受付を行った。その際使用したGoogleフォームズの設定画面において「結果の概要を表示する」がONになっていることに気づかず運用したため、送信ボタンを押した後に表示される画面内の「前の回答を表示」というボタンを押した場合に、当該フォームにすでに申込していた参加者および保護者の個人情報を含む回答結果の一覧が閲覧できる状態にあったということが、令和5年11月8日(水)、弊支部協議会インスタグラムのダイレクトメッセージに参加申込をした保護者よりコメントがあった。令和5年12月2日(土)に、インスタグラムを確認したところ、当該コメントを発見し、事実を認識したものである。

2.判明日時


 令和5年12月2日(土)午前5時

3.流出した個人情報(10組27名)


 参加者氏名、学年、性別

 保護者氏名、電話番号、メールアドレス

4.判明後の対応


 令和5年12月2日(土)午前5時10分 「結果の概要を表示する」をOFF

             午後4時19分 支部協議会事務局長へ報告

 令和5年12月3日(日)午前11時50分 住吉区役所教育文化課へ口頭で報告

             午後1時00分 事業開始時に出席者7組18名に状況を説明し、謝罪

             午後5時00分 欠席者3組9名に電話で個別に状況を説明し、謝罪

5.原因


 フォームを作成した際、職員が回答完了後の動作確認を行っていなかったため

 「結果の概要を表示する」がONになったことが確認できなかった。

6.再発防止策


  • フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
  • チェックリストを用いたチェック体制の構築・運用を行う。
  • 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
  • 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。

【セキュリティ事件簿#2023-474】株式会社徳岡 弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営するECサイト「ボルドープリムール」「ボンルパ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(1755件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023 年 9 月 19 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023 年 9 月 19 日弊社が運営する「ボルドープリムール」でのカード決済を停止いたしました。

※「ボンルパ」についてはサイトリニューアルの為、2023 年 5 月より休止

同時に、第三者調査機関による調査も開始いたしました。2023 年 10 月 21 日、調査機関による調査が完了し、2021 年 3 月 17 日~2023 年 7 月 28 日の期間に EC サイト「ボルドープリムール」「ボンルパ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました

2.個人情報漏洩状況

(1)原因
弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021 年 3 月 17 日~2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンルパ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。
    • カード名義人名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード
併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能性のある部分は下記となります。
    • 氏名
    • 会社名
    • 住所
    • 電話番号
    • FAX 番号
    • メールアドレス
    • 生年月日
上記に該当する 974 名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023 年 9 月 19 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

個人情報漏洩の可能性が確認された「ボルドープリムール」「ボンルパ」につきましては、すべて閉鎖となります。

2023 年 7 月より運営しております、後継である「徳岡グランヴァン」にて今後のプリムールのお引渡し、新規の販売を行ってまいります。後継のサイトは国際的なセキュリティ基準に準拠し構築を行い今回の調査においても安全性を確認できており、調査会社及び監督官庁からも確認いただいております。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 9 月 28 日に報告済みであり、また、所轄の大阪府南警察署にも 2023 年9 月 29 日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】


このたび、当社配給映画『カンダハル 突破せよ』の公式X(旧Twitter)アカウントで実施した【映画『カンダハル 突破せよ』感想投稿キャンペーン】において当選者の個人情報が閲覧できる状況にあったことが判明しました。本件に関する概要につきまして、下記の通りご報告いたします。

ご迷惑をおかけした当選者の皆様には、個別にお詫びのご連絡をいたしました。
お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

1)個⼈情報漏えいが発⽣した項⽬


当選された25名様のXアカウント名、氏名、住所、電話番号、映画をご覧になった劇場名

※同キャンペーンの当選者33名に対して、11月24日(金曜日)午後3時49分よりダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、11月28日(火曜日)午後2時8分までに入力を行った25名の方の情報が相互で閲覧可能な状態にありました。

2)原因

当社が設置した応募入力フォームにて、Googleフォームの機能である「前の回答を表示」の設定を誤ったことが原因で入力した方の個人情報が閲覧できる状態になっておりました。

3)経緯と対応状況

11月24日
・公式Xアカウントにて、該当の入力フォームを当選者へ随時送付
11月28日
・フォームを入力したお客様から当社公式WEBサイト経由でお問い合わせいただき、ほかのお客様の情報が閲覧できるようになっているとご連絡(この時点までで25名が回答)
・お問い合わせメールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更。同様のご指摘を公式XへのDM返信でもいただいていたことを確認。
現在の対応
・当選者様全員に、本件についてのご説明とお詫びのご連絡。
・本お知らせをHPにて公表。

4)再発防止策

・同様の事態が今後発生しないよう、フォーム作成と公開時のルール確立、複数名でのチェック体制の原則化、各社員に対して個人情報保護の重要性をはじめとした教育の徹底など、再発防止策を実施します。

この度の事態についてご指摘いただくまでの長期間、状況を認識できなかったことを重く受け止め、今後の運用体制についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ


当社は、2023年12月5日、当社及びグループ会社のサーバー(株式会社レスターエレクトロニクス、株式会社レスターデバイス、株式会社レスターコミュニケーションズ、株式会社レスターソリューションサポート、株式会社バイテックエネスタ、株式会社バイテックベジタブルファクトリー)が第三者Lockbitと思われるランサムウェアによる不正アクセス(以下当該不正アクセス)を受け社内システムに障害が発生していることを確認いたしました。またお客様への出荷やカスタマーサポートなどにおいても影響が発生していることをご報告いたします。

当該不正アクセスの判明後、被害拡大を防ぐために各種サーバーの停止、外部ネットワークを遮断するなどの対応をしております。現在、当該不正アクセスを受けた内容、原因や経路の究明、情報漏洩の範囲などを外部の専門家の協力を得ながら調査を進めています。

現時点で確認できている情報漏洩の内容は以下の通りです。
ファイルサーバーのフォルダ情報画像2点、株式会社レスターコミュニケーションズのシステム図面4点、その他サンプル画像等8点、計14点

お客様への出荷活動は継続しておりますが、納入遅延など影響が発生する場合には速やかに担当営業よりご連絡させていただきます。お客様ならびにお取引先様、関係者の皆様に多大なご迷惑とご心配をお掛けすることとなりお詫び申し上げます。

今後、公表すべき事項が判明した場合には、速やかに当社ホームページなどでお知らせいたします。

【セキュリティ事件簿#2023-448】株式会社アイテス 当社サーバーへの不正アクセスに関するお知らせと調査結果のご報告


株式会社アイテス(以下「当社」といいます。)は、第三者による不正アクセス攻撃を受けましたこと(以下「本インシデント」といいます。)を2023年10月23日に公表いたしました。

この度、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了し、報告書を受領しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。なお、当社は今後も継続的にセキュリティ対策の強化を図ってまいります。

お客様ならびにご関係者の皆様につきましてはご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

【対応経緯】

 ■2023年10月20日
  当社サーバーへの不正アクセスが発覚。
  同日、外部に接続しているネットワークをすぐに遮断し、外部専門機関へ報告・相談
 ■2023年10月23日
  警察および関係機関への報告を実施
 ■2023年10月23日
  本インシデントに関するお知らせをホームページへ掲載
 ■2023年10月25日
  外部専門機関へ詳細調査を依頼。依頼した調査内容は以下の通り。
   ・不正アクセス被害を受けた可能性のある機器に対する安全性確認
   ・被害を受けた機器のフォレンジック及び各種ログの解析を通した被害の詳細・範囲の分析
   ・侵入経路の調査、及び安全性確認
 ■2023年11月30日
  外部専門機関より調査報告を受領。
 ■2023年12月5日
  調査結果と再発防止策等についてホームページへ掲載

【調査結果】


 1.被害の原因
   調査の結果、攻撃者は当社ネットワークおよびサーバー等へ不正に侵入し、ランサムウェアによるデータ暗号化の侵害をしていたことを確認しました。
   なお、他のPCについてマルウェア感染等の被害は、確認されませんでした。

 2.影響範囲
   外部専門機関による調査では、当社のデータについて、情報窃取およびデータの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

 3.二次被害について
   現時点で本インシデントにかかわる個人情報あるいはお客様情報情報の不正利用は確認されておりません。

【再発防止策について】

 当社では、本インシデントの発生を重く受け止め、再発防止に向けて外部専門機関からのアドバイスを受け以下の対策等を実施します。

  ・脆弱性管理の徹底
  ・強固な認証方式の利用
  ・適切なセキュリティ機能監視体制の整備
  ・インシデントに対する体制整備 等

【セキュリティ事件簿#2023-470】NHK 取材に関する情報の流出について


NHKの記者が、 先月、 取材したインタビューの内容メモなどが、インターネット上に流出したことが分かりました。この内容メモに接することができる人物の中から流出させた者の特定を進めた結果、NNHKの子会社が契約している派遣スタッフが、 きょう、自分が流出させたと認めました。この派遣スタッフは、「 大変なことをしてしまい、申し訳ありません」と話しています。

NHKは、インタビューに協力していただいた方に、お詫びいたしました。

(NHKコメント)
「取材に関わる情報が外部に流出したことは、 取材対象者との信頼関係を損なうだけでなく、NHKに対する視聴者の皆さまからの信頼を損なう、あってはならないことで、深くお詫び申し上げます。 事実関係をさらに調査したうえで、厳正に対処してまいります。また、 管理体制を強化するなど再発防止策をとりまとめ、信頼の回復に努めます」

【セキュリティ事件簿#2023-469】積水ハウス株式会社 システム開発用クラウドサーバーのセキュリティ設定不備によるお客様情報等の外部漏えいについて


弊社が設計業務システムの開発を委託していた BIPROGY 株式会社(以下「BIPROGY 社」)のセキュリティ設定に不備があり、システム開発用クラウドサーバー(以下「当該サーバー」)より、お客様情報の漏えい及び漏えいしたおそれがあることがわかりましたのでお知らせいたします。お客様をはじめ多くの関係者の皆様にご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。今後は、委託先の情報セキュリティに関する監督強化を行うとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。

【経緯及び状況】

  • 当該サーバーには、弊社から提供したお客様情報等が存在していましたが、11 月 6 日、外部からの不審なアクセスが検知されたため、当該サーバーを停止し、調査を開始しました。
  • 調査の結果、BIPROGY 社のセキュリティ設定の不備により、当該サーバーにおいて、11 月 10 日にお客様情報等の漏えい及び漏えいしたおそれがあることを確認しました。
  • お客様情報等の不正利用は現在確認されておりませんが、漏えいの有無も含め、IPROGY 社と共に引き続き調査を行います。
  • 当該サーバーは独立したものであり、弊社におけるその他のシステムに影響はありません。
  • 本件に関しては、弊社より個人情報保護委員会に報告を行っております。
【漏えいが確認されたお客様情報等】
対象範囲 : 2023 年に弊社が取得したお客様情報等
項目 : 
お客様の氏名、建築地住所及び図面 2 件
当該物件を担当した弊社従業員氏名 12 件

【漏えいしたおそれのあるお客様情報等】
対象範囲 : 2001 年から 2023 年の間に弊社が取得したお客様情報等
項目 : 
お客様の氏名及び建築地住所 11,707 件
お客様の氏名のみ 15,682 件
当該物件を担当した弊社従業員氏名 7,184 件

【お客様への対応】

  • 漏えいが確認されたお客様には弊社より連絡をさせていただきました。
  • 漏えいしたおそれのあるお客様につきましては、順次郵送やメール等で弊社よりご連絡をさせていただきます。そのため、ご連絡までにお時間を頂く可能性がございますが、何卒ご容赦くださいますようお願いいたします。
  • 漏えいが確認された及び漏えいしたおそれのある弊社従業員(退職者も含む)に対しても、順次郵送やメール等で弊社より連絡を行います。

【セキュリティ事件簿#2023-383】名古屋芸術大学 学生の個人情報の漏洩の可能性に関するお詫びとお知らせ


学生、教職員の皆様

この度、株式会社ECC(以下、ECCという。)より、名古屋芸術大学が入学前英語テスト他、英検オンラインプラクティスにおいて利用しているECCの学習支援システムサーバーへの外部からの不正アクセスが確認され、個人情報が漏洩した可能性を排除できないことが判明したとの報告がありました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、今回の事態により関係各位に対して多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申しあげます。

1. 本件の経緯


令和5年9月19日(火)にECCから、本学が英検オンラインプラクティスにおいて利用しているサーバーへの不正アクセスを9月12日(火)に確認した旨の通報がありました。その後のECCの調査により、令和5年5月16日(火)以降、複数回の不正アクセスがあり、今年度の英検オンラインプラクティス受講対象者の情報が漏洩した可能性のあることが判明しました。

2. 漏洩の可能性のある個人情報


(1)対象件数:在籍学生586人分

(2)対象項目:①氏名、②大学名、③学籍番号、④受験番号、⑤暗号化済みパスワード※、⑥英検オンラインプラクティス受講情報(受講者のみ)

※ 生年月日を暗号化したデータで、生年月日が流出することはありません。

3. 本件の対応窓口及び調査結果について


ECCからの報告とその後の調査を受け、令和5年10月13日(金)に該当学生に対し、上記2-(2)の個人情報が漏洩した可能性に関するお知らせとお詫びについて配信するとともに、対応窓口として連絡先メールアドレスの指定と、対面での相談機会を設定するなどして調査を開始しました。

そして調査の結果、個人情報を悪用された事実は確認されませんでした。


4. 再発防止策について


ECCにおいて、通信制限などセキュリティ強化を実施し、不正アクセスに用いられたアカウントのID/パスワードにつきましても強固なものに変更するなど再発防止策をすでに講じています。

本学では、今回の事態を重く受け止め、委託先の業者も含め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めてまいります。

【セキュリティ事件簿#2023-468】株式会社大西 不正アクセス発生による情報流出の可能性とお詫びについて


株式会社大西は、当社グループの情報システムに対する2023年7月の外部からの不正な攻撃(以下「本件」といいます。)により当社サーバのアクセス障害が発生し、保存されている関係者の情報が外部に流出した可能性のあることが判明しましたので、お知らせします。このたび、当社や外部機関などによる調査の結果がまとまりましたので、公表させていただくことといたしました。

当社や第三者機関などによる調査の結果、現時点で情報の不正使用などの二次被害は確認されておりません。関係者の皆様におかれましては、多大なご迷惑とご心配をおかけしますことをお詫び申し上げます。

1.流出した可能性のある情報

・グループ各社のお客様にかかる情報(電話番号、住所、事業者名・店名、代表者氏名・担当者氏名、メールアドレスなど)
・グループ各社のお取引先様にかかる情報(受注情報、請求情報、仕入先情報など)

※当社グループのECサイトにおけるクレジットカード情報につきましては、決済代行会社のシステムを利用しているため今回の対象外でございます。

2.事案発生と調査の経緯

当社グループのサーバが2023年7月21日、外部からの不正アクセスを受け、ファイルサーバに脅迫文が置かれた上でファイルの毀損が発生していることを確認しました。

発生直後に初期対応を行うとともに、原因の究明と対策を進めるため、当社グループの情報システム部門と契約するITシステム開発事業者、さらに第三者機関が慎重に調査を実施してまいりました。

このたびまとまった調査の結果 、VPN接続やウェブサーバの脆弱性を悪用して侵入された可能性が高く、管理権限を持つサーバを改ざんされたことで被害が拡大したとみられることが判明しました。

現時点では、当社グループの保有する個人情報を含む各種情報が外部へ流出した痕跡や、外部の攻撃者による当社情報の公開は確認しておりません。また、本件に起因する情報の不正利用など二次被害にかかる報告も受けておりません。

こうした状況も踏まえて、各種情報にかかるデータの外部流出の可能性は極めて低いと考えられます。しかしながら、情報流出の可能性を完全に否定すること、また流出の可能性がある情報の特定については、困難な状況となっております。

3.対応策

調査結果を受けて、システム侵入経路を封鎖するとともに、監視体制の強化をはじめとするセキュリティ対策を講じております。PCスキャンチェックなどを行い、再発防止のための措置を講じております。個人情報保護委員会にも報告しており、対応策について助言を受けているほか、警察にも相談しております。

4.今後の対応

当社グループはこれまでも、不正アクセス防止措置を講じてまいりましたが、今回の事態を重く受け止め、本件にかかる調査結果や外部機関の助言を踏まえた、さらなる管理体制の強化に努めてまいります。

【セキュリティ事件簿#2023-396】個人情報保護委員会 青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について

 

個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。

1.事案の概要

本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。

2.漏えいしたおそれのある保有個人情報とその件数

本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。

3.個人情報保護法上の問題点

個人情報保護法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、野辺地町では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 電子媒体等を持ち運ぶ場合の漏えい等の防止の不徹底(物理的安全管理措置の不備)

野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。

(2) 個人情報の取扱状況を確認する手段の整備の不徹底(組織的安全管理措置の不備)

野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。

(3) 漏えい等安全管理上の問題への不十分な対応(組織的安全管理措置の不備)

野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

4.個人情報保護法第 157 条に基づく指導及び第 156 条に基づく資料提出等の求めの内容

(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。

(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。

リリース文アーカイブ

【セキュリティ事件簿#2023-467】日本赤十字豊田看護大学における個人情報を含むUSBメモリの紛失について


このたび、本学の教員が個人情報を含むデータが保存されたUSBメモリを紛失する事故が発生しました。ここにご報告するとともに、関係する皆さまには、多大なご迷惑をおかけしたことを深くお詫び申し上げます。

1. USB メモリ紛失の概要

2023 年 11 月 17 日(金)に当該教員より、個人情報を含むデータが保存された USB メモリ4本を紛失した旨の第1報が大学にありました。当該教員が最後に USB メモリを確認したのは、2023 年 11 月17 日(金)であり、同日紛失に気付きました。速やかに公共交通機関、関係施設等を捜索しましたが、未だ発見に至っておらず、2023 年 11 月 20 日(月)に所轄警察署へ遺失物届を提出いたしました。当該教員からの事故報告書を受け、大学における対策を講じました。なお、現時点で本件の個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。

2. 紛失した USB メモリに保存された情報

(1)本学学生の氏名及び学籍番号(138 名分)
(2)個人が特定できない研究データ
(3)当該教員履歴書

3. 現在の対応状況

 今回の事故報告書を受けて、以下のように対応いたしました。

(1)本学学生(138 名分)について
   事故の経緯を説明し謝罪した文書を対象学生各人宛メール配信しました。
(2)個人が特定できない研究データについて
   研究代表者及び本学研究倫理審査委員会委員長宛に、事故の経緯を文書にて報告しました。

4. 再発防止策等

本学教職員に対し、次のとおり周知徹底を図ってまいります。

(1)個人情報を学外に持ち出す場合は、本学が指定する情報の取り扱いルールを徹底します。
(2)USB メモリ紛失による漏洩リスクと対策を題材にセキュリティ講習会を実施します。
(3)個人情報を適正に管理することをあらためて注意喚起します。

今後は、個人情報の取り扱いについて、教職員に対しより一層の厳重な取り扱いの周知徹底を図るとともに、再発防止に努めてまいります。

【セキュリティ事件簿#2023-466】JCOM 株式会社 お客さまの個人情報漏えいに関するお知らせとお詫び

当社がメッシュWi-Fi(高機能Wi-Fi含む:以下メッシュWi-Fi)を提供するお客さま、および当社がメッシュWi-Fiを提供するケーブルテレビ事業者様のお客さま情報の一部が、漏えいしたことが確認されました。

お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
本件の対象となるお客さまに対しては、準備が整い次第順次お知らせいたします。

1.概要


メッシュWi-Fiの提供元である、米国Plume Design社の提携先のモバイルアプリのアクセスログサーバに対して、外部からの不正アクセスがあり、当社ならびにケーブルテレビ事業者様の一部のお客さまの個人情報が漏洩したもの。

2.発覚の経緯


本事態を、Plume社販売代理店経由で2023年11月21日に報告を受けたことで判明。

3.お客さま情報の件数と内容

①J:COMのメッシュWi-Fiアプリをご利用されたことがある一部のお客さま:226,832件

・お客さまの氏名

②ケーブルテレビ事業者様のメッシュWi-Fiをご利用されたことがある一部のお客さま:5,109件

・お客さまの氏名

・メールアドレス

4.お客さまへの対応について


今後新たな事実が判明した場合には、当社ホームページにてお知らせいたします。

【セキュリティ事件簿#2023-465】中嶋製作所 弊社内システムがランサムウェアに感染し、情報流出可能性のご報告とお詫び


この度、ランサムウェアの BlackCat により、弊社内のパソコン、サーバー、ファイル等がウィルス感染していることが判明し、 社内調査を実施したところ、弊社営業担当者のメー
ルアドレス、お客様の見積書、 図面などが流出していることとが確認されました。 流出した情報の詳細は把握出来ていない状況です。また弊社社員の個人情報につきましても流出している可能性があります。

このような事態を招きましたことにつきましては、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。

弊社では、今後、更なるセキュリティ強化を図り、再発防止に努めてまいります。

1. 経緯

2023 年 11 月 6 日
社内基幹システムが平常通り作動しない事象が発生、 システムベンダーに連絡し、状況確認したところ、11 月 3 日にセキュリティ異常を検知していたととが判明。

2023 年 11 月 7 日
始業時から基幹システムならびにた会計システムが起動しない状況となり、システムベンダーに連絡し調査してもらった結果、ラランサムウェアウィルス(BlackCat) に感染しているととが判明し、社内調査した結果、複数のパソコン、サーバー、ファイルが感染している状況を確認。

2023 年 11 月 8 日
個人情報漏洩の恐れがあるため個人情報保護委員会に報告。

2023 年 11月9日
弊社代表者ならびに営業担当者宛に脅迫メールを受信。

2023 年 11 月 13 日
長野県警サイバー犯罪捜査課に通報。

2023 年 11 月 15 日
社内システムが復旧。 独立行政法人情報処理推進機構に報告。

2. 流出の可能性がある情報

お客様の見積書、図面、担当者名、電話番号、メールアドレス、メール本文または
添付ファイル、英社社員の個人情報など

3. 関係者様への対応

現在、 情報の流出ならびに個人情報の不正利用などの報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願い致します。

4 . 今後の対応

現在、 警察と連携して対応しておりますが、 今後は、更なるセキュリティ対策強化をするととにより再発防止に努めてまいります。

【セキュリティ事件簿#2023-464】LINEヤフー株式会社 不正アクセスによる、情報漏えいに関するお知らせとお詫び


LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。

本件につきまして、以下の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。

■発生した事象

当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
10月17日に当社システムへの不審なアクセスを検知し分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したものです。当社では被害状況の把握と拡大の抑止の対応を実施しています。
また、関係省庁には適宜状況の報告を行っております。 

■本事案の影響

11月27日時点で、本件により漏えい(可能性も含みます)が確認できた個人情報は以下のとおりです。

〈ユーザーに関する情報〉

・ユーザーに関する個人情報 302,569件(うち日本ユーザー129,894件)
 推計値49,751件を含む(うち日本ユーザー15,454件):LINEユーザー内部識別子*2に紐づくサービス利用履歴など

 うち、通信の秘密*3に該当する情報 22,239件(うち日本ユーザー8,981件)
 推計値3,573件を含む(うち日本ユーザー31件)

口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は上記に含まれません。 

〈取引先等に関する情報〉

・取引先等に関する個人情報 86,105件:取引先等のメールアドレス等
 ・取引先等のメールアドレス*4 86,071件
 ・取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等 34件

〈従業者等に関する情報〉

・従業者等に関する個人情報 51,353件:氏名、社員番号、メールアドレス等
 ・ドキュメント管理システム内の従業者等に関する個人情報 6件
 ・認証基盤システム内の従業者等に関する個人情報*5 51,347件
  ・当社および当社グループ会社        30,409件
  ・NAVER社およびグループ会社      20,938件 

*1 当社、当社グループ会社、NAVERグループにおける従業員、業務委託先および派遣元等の従業者
*2 LINEのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なります。
*3 メッセージのように特定者間のやり取りに関連する情報
*4 当社メーリングリストに含まれていた当社(当社グループ会社を含む)ドメイン以外のメールアドレス
*5 提供しているシステムに応じて会社を区分。本件数は、アカウント数であり重複がある。従業員数とは一致しない。

■時系列対応(日本時間)

2023/10/09:当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始

2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始

2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断

2023/10/28:従業者の社内システムへの接続について再ログインを強制実施

2023/11/27:ユーザーおよび従業者等への通知を開始

■対象者へのお知らせおよび今後の方針について

二次被害のおそれがあると評価したユーザーの皆さまには、個別にご連絡いたします。それ以外の、取引先の皆さまを含むご連絡可能なお客様に対しても個別のご連絡を実施予定です。該当の既存ユーザーおよび現時点で退会されているユーザー、取引先の皆さまには、ご登録いただいたメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別にご案内いたします。また、該当する当社従業者につきましても、本事案の説明を行います。なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。

当社にてアクセス遮断などの処置を実施しており、該当するユーザーの皆さまにご対応いただく事項はございませんが、当社を装ったメッセージにご注意くださいますようお願い申し上げます。また、巧妙な詐欺やフィッシングの可能性があるため、十分にご注意くださいますようお願い申し上げます。

今後、当社は旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化していく予定です。加えて、事象の契機となった、委託先の安全管理措置の是正に取り組みます。また、これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していきます。

改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-318】独立行政法人日本学術振興会 不正アクセスによる個人情報漏えいのお詫びとご報告

今般、独立行政法人日本学術振興会が民間事業者提供のファイル転送サービスとして利用していたサービス(Proself)が何者かに不正アクセスされ、「Proself」に保存されている国内外の関係者の個人情報が、外部に漏えいしたことが判明いたしました。

関係者の皆様にご迷惑とご心配をおかけいたしますこと深くお詫び申し上げます。 

経緯

令和 5 年 10 月 5 日に上記民間事業者より Proself に脆弱性があるとの連絡がございました。それに基づいて、サービス開発業者に対し、調査を依頼いたしましたところ、令和 5 年 10月 25 日に調査結果の報告があり、一部ファイルが何者かに取得されたことが明らかになりました。

この報告によると、不正アクセスは令和 5 年 8 月 29 日~令和 5 年 9 月 20 日に行われ、Proself に保存されていたファイルの一部が取得されたことが判明いたしました。取得されたファイルを本会にて確認したところ、個人情報が含まれていたことを令和 5 年 10 月 26 日に確認いたしました。 

原因

サービス開発業者から、未知の脆弱性であった XXE 脆弱性(特殊な命令を送信することによって、本来表示されないファイルの内容を見ることができる脆弱性)を用いたサーバー内ファイル取得を目的とした不正アクセスであったとの報告を受けております。 

現在の対応

脆弱性が解消された Proself にアップデートし、既知の脆弱性に基づく攻撃の被害発生を防止しました。また、未知の脆弱性に基づく攻撃に対しても、ファイルの暗号化の強化等、運用管理方法を見直し、これらに基づいて本会情報セキュリティポリシーの改定を行い、周知徹底を図りました。

また、個人情報保護委員会にも報告し、警察にも相談しています。 

漏えいした個人情報

 現在、以下の情報を確認しております。
  • 海外との研究者交流事業の関係者 391 名
     氏名、所属先、役職、略歴、連絡先(メールアドレスを一部含む。)、活動計画、推薦理由等
  • 国内外の学術振興に係る行事・会議の参加者 569 名
    氏名、所属先、役職、略歴等
  • 本会役職員の氏名、メールアドレス等 312 名 

関係者の対応

現在、個人情報漏えいの可能性のある関係者の皆様を対象に、メールなどを通じて、別途その旨ご連絡しております。

今後の対策

情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、さらなるセキュリティ強化を図ることとしています。

このたびは、関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。 

【セキュリティ事件簿#2023-315】泉北高速鉄道株式会社 【ご報告】『当社子会社「泉鉄産業株式会社」業務用パソコンへの不正アクセスの発生及び泉鉄産業従業員情報の漏えいの可能性』に関する調査結果 (不正アクセス及び情報の漏えいはありませんでした)

 

8月7日、当社の子会社「泉鉄産業株式会社」の業務用パソコンに対して外部からの不正アクセス及び同パソコンに保有する従業員の個人情報が漏えいした可能性がある旨を8月10日に公表しました。

その後、同社により、外部専門機関による同パソコンの分析調査を実施しました結果、外部からの不正アクセスや不正にインストールされたプログラムがなかったことを確認しましたので報告します。

お客さまをはじめ関係されるみなさまに、ご心配をおかけしましたことを、改めて深くお詫びいたします。

1.分析調査の結果について

泉鉄産業株式会社は上記の業務用パソコンを解析するため、情報セキュリティ専門機関に分析調査を依頼しました。

調査の結果、解析対象パソコンにおいてハードウェア、ドライバーのエラーに起因するログは確認されましたが、外部からのアクセス記録及び痕跡は認められませんでした。

したがって、不正アクセスが疑われた事象の原因は、ハードウェアの故障に起因したものであり、不正アクセスはなく、また、情報漏えいもなかったと判断しました。

2.今後に向けて

泉鉄産業株式会社は、引き続き個人情報の厳重な管理を図ってまいります。


リリース文アーカイブ

【セキュリティ事件簿#2023-463】株式会社エンラージ商事 弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「エンラージ商事オフィシャルショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,602件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年2月24日弊社が運営する「エンラージ商事オフィシャルショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月14日、調査機関による調査が完了し、2021年5月16日~2022年5月20日の期間に 「エンラージ商事オフィシャルショップ」で購入されたお客様クレジットカード情報の漏洩の可能性があることが判明し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因

弊社が運営する「エンラージ商事オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年5月16日~2022年5月20日の期間中に「エンラージ商事オフィシャルショップ」においてクレジットカード決済をされたお客様2,432名で、漏洩した可能性のある情報は以下のとおりです。

・ECサイトの認証情報(メールアドレス、パスワード、電話番号)

・カード番号

・カード有効期限

・セキュリティコード

上記に該当する2,432名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年2月21日の漏洩懸念判明から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「エンラージ商事オフィシャルショップのクレジットカード決済」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、警察にも2023年10月25日に連絡・相談をしております。

【セキュリティ事件簿#2023-462】大阪府 個人情報の流出について


農政室推進課において、受託事業者である一般社団法人大阪府農業会議(以下「受託事業者」という。)に委託し実施したアンケート調査支援業務について、アンケートの回答者が回答後に自身の回答内容をウェブで閲覧した際、別の回答者の回答内容が閲覧できる状態にあったという事案が発生しました。

このような事態を招きましたことを深くお詫び申し上げるとともに、今後、再発防止に取り組んでまいります。
 

1.流出した情報

 ・農地所有者氏名、筆数、地番、地目、面積、アンケート回答内容 1名分
 ・農地所有者氏名、筆数、地番、地目、面積 13名分
 

2.アンケート調査の方法


当該アンケート調査は、受託事業者が府内市町村の農業委員会(※)に調査フォームを提供し、各委員会が紙媒体もしくはウェブで回答を回収している。

(※)農地法に基づく売買・貸借の許可、農地転用案件への意見具申、遊休農地の調査・指導などを中心に農地に関する事務を執行する行政委員会として各市町村に設置。

3.事案の経緯

○令和5年5月
  • 千早赤阪村農業委員会がアンケート調査を実施した。
○令和5年10月13日(金曜日) 
  • 柏原市農業委員会がアンケート調査を実施した。
○令和5年11月2日(木曜日)
  • ウェブで回答した柏原市のアンケート回答者から柏原市農業委員会へ、ウェブ上で回答内容を確認したところ、別の回答者の回答が表示されるとの連絡があった。
  • 柏原市農業委員会職員が無作為に選んだ柏原市の回答者の回答結果閲覧画面を確認したところ、別の回答者の回答内容が表示されたため、柏原市農業委員会職員が受託事業者へ連絡した。
  • 受託事業者がアンケート回答フォームを作成した業者(以下「業者」という。)に連絡し、原因調査及びシステムの不具合の解消を指示した。
  • 業者がシステムを確認したところ、柏原市の回答結果閲覧画面を開くと、千早赤阪村の回答結果が表示されることが判明した。
  • 業者がシステムの不具合を解消し、受託事業者へ連絡した。

〇令和5年11月6日(月曜日) 
  • 受託事業者が府へ本事案を報告し、府は個人情報の流出件数の精査等を指示した。
〇令和5年11月6日(月曜日)以降
  • 受託事業者が個人情報の漏洩した千早赤阪村の回答者へ経緯説明及び謝罪を行った。

4.原因

  • 業者が回答フォームを作成した際、柏原市のウェブ回答者の回答結果閲覧画面のURLが、誤って千早赤阪村の回答結果閲覧画面のURLとなっていた。また、受託事業者及び業者において動作確認を行っていなかった。

5.再発防止策

  • 府から受託事業者に対し、今後回答フォームを作成する際にはチェックシートを作成し、業者と受託事業者の双方において、複数人での回答フォームの動作確認を徹底するよう指示した。

【セキュリティ事件簿#2023-461】中津市民病院 財務会計システムへの不正アクセスによる情報流出の可能性について


この度、当院の財務会計システムサーバに外部からの不正アクセスがあり、 以下の情報が流出した可能性があることが 11 月 14 日(火)に判明いたしました。

現在、流出した可能性のある情報内容の特定及び原因究明に取り組んでおりますが、現時点
で情報の流出や不正利用などの事実は確認されておりません。

また、財務会計システムは電子カルテシステム等の他のネットワークとは接続していないため、患者情報の流出はなく、診療業務への影響はありません。

現在までに確認できている事実及び対応について下記の通りご報告申し上げます。

1. 流出の可能性がある情報について
取引先各社の住所・会社名・代表者名・口座情報・取引金額

2. 経緯及び状況について
11 月 13 日(月)に財務会計システムサーバの異常を認識し、詳細を調査した結果、ランサムウェアに感染していることが 11 月 14 日(火)に判明しました。 直ちに感染したサーパ機器をネットワークから切り離し、現在、感染経路や時期について調査を実施中です。

3. 今後の対応について
この度の事案を深く受け止め、引続き調査を進めるとともに、再発防止に向けた外部ネットワークからの不正侵入防止策の強化やその他の院内システムの再点検を実施するなどして、より一層の情報セキュリティ強化に取り組んでまいります。

リリース文アーカイブ) 

【セキュリティ事件簿#2023-460】東海大学 個人情報を含むリモート個別面談申込情報の誤掲載について


本学学生の保護者を対象とするリモート個別面談の申し込み時にご入力いただいた個人情報が、6日間にわたって教職員以外でも閲覧できる状態にあったことが判明いたしました。なお、現時点では第三者による当該個人情報の悪用等の事実は確認されておりません。

この度の事態により、個人面談を希望し個人情報を入力された保護者の皆様、学生の皆さま、ならびに関係各位におかれましては、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

1. 経緯

2023年10月5日(木)9時30分頃、本学体育学部の教員が、保護者を対象としたリモート個別面談の基本情報が記入されたスプレッドシート(ネットワーク上のファイル)のURLを自身の担当する授業のレポート課題のURLと取り違えて掲載し、授業支援システム「Open LMS」上に公開してしまいました。当該教員は直後に誤掲載に気づきURLを修正したものの、情報の更新を自動的に知らせる通知メールが同システムから当該授業の履修者63名に既に送信されていました。そのメール本文中にスプレッドシートのURLが記載されていたことから、同スプレッドシートがロックされた11日(水)10時までの6日間にわたって、教職員以外でも閲覧・ダウンロードできる状態にありました。

本件は、14日(土)にリモート個別面談の委託企業から、既にロックされているスプレッドシートのURLに教職員以外から不審なアクセスがあった可能性があるとの連絡が入ったことから、聞き取りも含めた詳細な調査を開始し、経緯が判明いたしました。

2. URLの誤掲載で閲覧可能となった個人情報の内容

保護者対象のリモート個別面談を申し込まれた440名の①学生氏名②学生証番号③申込者氏名④申込者メールアドレス⑤申込者電話番号⑥特に面談したい内容⑦面談をしたい具体的事項

3. 対応

2023年10月5日(木)、当該教員が授業支援システム上にプレッドシートのURLを公開した約15分後に誤りに気付き、直ちにシステム上からURLを修正しました。また、6日(金)と17日(火)の2回、履修学生63名に対し、ファイルをダウンロードしている場合は削除するようメールにて通知しました。さらに、19日(木)の授業時間帯に当該教員と管轄部署が改めて履修学生にお詫びと説明を行うと同時に、個人情報保護への協力について要請しました。また、該当者に対し、お詫びと状況説明のための連絡をいたしました。

4. 再発防止に向けた今後の取組

本学では、「東海大学情報セキュリティポリシー」に則り、情報資源や個人情報などの適切な管理に努めてまいりましたが、この度の事態を重く受け止め、教職員への通達や研修等を通じて情報資源の管理徹底と個人情報の取り扱いについて、より一層の意識向上を図り、再発防止に取り組んでまいります。

【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ

この度、弊社子会社㈱ダイナックパートナーズが運営受託しておりますゴルフ場(オータニにしきカントリークラブ)のレストランに勤務する従業員が、業務で知り得たお客様(2 名)の個人情報を本人の SNS で投稿するという事案が発生いたしました。弊社として今般の事態を厳粛に受け止め、当該関係者の皆様に誠意をもって謝罪させていただくとともに、当該従業員及び担当役員に対して厳正に処分を行う所存でございます。

弊社は、本事案を真摯に受け止め、個人情報保護に関する教育を再度徹底するとともに、再発防止に努めてまいります。この度は関係者の皆様に大変ご迷惑をおかけしましたことを深くお詫び申し上げます。



【セキュリティ事件簿#2023-458】ヤマハ発動機株式会社 フィリピン子会社に対する不正アクセスについて

 

このたび、ヤマハ発動機株式会社(以下、当社)のフィリピンにおける二輪車製造・販売子会社「ヤマハモーターフィリピン(以下、YMPH)」が管理する一部のサーバに対し、第三者による不正アクセスおよびランサムウェア攻撃(以下、本攻撃)を受け、YMPHが保有する社員情報の一部が流出していることを確認しましたので、お知らせいたします。

本攻撃の判明以降、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の協力を得ながら、被害拡大の防止措置を講じた上で、影響範囲等の調査と復旧への対策を進めています。被害の全容を把握するには、一定の時間を要する見込みですが、現時点で判明している内容については下記のとおりです。

関係の皆さまにはご心配とご迷惑をお掛けすることとなり、お詫び申し上げます。

1.経緯

10月25日、YMPHがランサムウェア攻撃を受けていることを確認しました。同日、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の助言を受けながら、被害拡大の防止措置、影響範囲等の調査と復旧への対策を進めております。

 10月27日、YMPHは、フィリピン当局へ報告しました。

 11月16日、YMPHで保有する社員情報の一部が流出していることを確認しました。

2.現在の状況と今後の対応

現在、YMPHの本攻撃被害に遭ったサーバ以外のシステムは復旧しています。本攻撃はYMPHが管理する一部のサーバへの攻撃に留まり、本社を含めた当社グループへの影響はないことを確認しています。引き続き監視を継続するとともに、被害のあったYMPHのシステムの早期の全面復旧に向けた対応を継続いたします。

リリース文アーカイブ

【セキュリティ事件簿#2023-457】明和證券株式会社 当社メールサーバへの不正アクセス発生について

 

当社は、11 月 5 日に、当社ホームページのお問い合わせフォームに使用しているメールアドレス( info@meiwa-sec.co.jp )のメールサーバへの第三者による不正アクセスを受けたことを確認しました。調査の結果、不正なアクセスによりお問い合わせフォームからお問い合わせいただいた内容や当該メールアドレス宛に送られた内容等が読みだされている可能性があります。

なお、不正アクセス確認後、速やかにパスワードのリセット、アクセス監視強化等の対策を講じております。

当該の方々や関係する方に多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ

 

当社は、2023 年 11 月 6 日に春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことを確認いたしました。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害状況の確認、情報流出の有無などの調査を行うとともに、復旧への対応を進めております。影響について調査中ですが、開示が必要な場合は速やかに公表いたします。

1.今後の対応

外部専門家及び警察と連携して早期復旧に向けた取組みを進めるとともに、さらなる管理強化を実施してまいります。

2.不明点に関するお問い合わせ

 ご不明点に関しましては、ホームページの『お問い合わせ』までお願いいたします。戦略企画部より回答申し上げます。

関係各位におかれましては、ご心配およびご迷惑をおかけしますことを深くお詫び申し上げます。

【セキュリティ事件簿#2023-455】長崎県警察 ニセ電話詐欺被害者等の個人情報漏えいのお知らせとお詫びについて

 

長崎県警察が令和5年中に受理しましたニセ電話詐欺被害届出や相談について、被害に遭われた方や相談をされた方に関する個人情報が流出いたしました。

関係する皆様に御迷惑をおかけしましたことを心からお詫び申し上げます。

1 個人情報流出の概要

令和5年10月5日、警察本部の職員が、ニセ電話詐欺被害の認知件数に関する統計資料を関係先(1 箇所) に電子メールで送信しようとした際、 誤って個人情報が含まれた別のニセ電話詐欺に関する資料を送信したことが、関係先の御指摘により判明 したものです。

2 流出した保有個人情報の項目

氏名、職業、年齢、性別、被害額、被害発生日の全部又はその一部

※住所、電話番号の泌えいはありません。

3 原因

電子メールを送信する際、誤って別のファイルを添付したことによるものです。

4 二次被害又はそのおそれの有無

送信先は関係先1 箇所のみであり、発覚後、直ちに警察職員が関係先の電子メールを確認の上で、 誤送信したデータをすべて削除し、 併せて残存データがないこと、さらにそれ以上の流出がないことを確認しています。

5 再発防止策

長崎県警察は今回の事実を厳下に受け止め、同様の事態が再び発生しないよう、 電子メールやファックスで情報を送信する場合は、 必ず宛先や添付ファイルについて複数人で確認するなど、個人情報の管理について一層の注意を払ってまいります。

加えて、警祭職員に対して、これまで以上に情報の取扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関する当事者意識の醸成を図ってまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-454】IDEC(アイデック)株式会社 当社への不正アクセスについて

 

2023 年 10 月 31 日、当社のネットワークが第三者による不正アクセスを受けたことを確認いたしました。本件を受けて、当社では影響が及ぶ可能性のあるサーバーの停止、ネットワークの遮断を直ちに行うなど、被害拡大の防止策を講じております。

現在詳細を確認しており、今後外部の専門機関による調査も行うことで、情報流出の有無および範囲の特定を進めてまいります。

なお、業績等に影響を及ぼすと判断した場合には適時、開示させていただきます。

関係する方々に多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。 

リリース文アーカイブ

【セキュリティ事件簿#2023-453】東浦町 町が利用する外部メールアドレスの第三者による不正利用

町が利用する外部メールアドレスとパスワードを第三者に不正に入手されたのち、なりすましにより不特定多数に大量のメールを送信していることが発覚しました。

現在のところ、個人情報の流出及び不正プログラムが仕込まれるなどの被害は確認されていません。

現在は、パスワードを変更するとともに、当該アドレスの使用を停止し、調査を進めています。

また、当該アドレスを常時使用しているパソコンについて、ウイルス対策ソフトによるスキャンを実施した結果、ウイルス等に感染している形跡はありませんでした。

経緯


(1)11月10日(金曜日)

 午後3時26分以降に大量の送信エラーメールを受信しました。

(2)11月11日(土曜日)

 メールアドレスのドメイン管理元から「大量のメールが送信されている事象を確認し、不正利用されている恐れがある。」という旨のメールを受信しました。

(3)11月13日(月曜日)

 大量の送信エラーメールを受信したことをきっかけに被害を受けたことを町として認識、その後、調査を開始しました。

(4)11月14日(火曜日)

 午前11時の時点で合計約500件の送信エラーメールを受信したことを確認しました。


この度は、関係者各位及び住民の皆様にご心配をおかけしましたことをお詫び申し上げます。

現在、警察等と連携して対応にあたっているところであり、引き続き調査を進めてまいります。

【セキュリティ事件簿#2023-452】株式会社Geolocation Technology 採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び(第2報)


2023年11月11日付「採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び」(https://ssl4.eir-parts.net/doc/4018/tdnet/2360564/00.pdf)にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。  

2023年11月8日に、当社コーポレートサイトの設定不備により、2019年5月1日から2023年4月14日までの間、当社のコーポレートサイトの採用応募フォーム(変更前の応募サイト)から中途採用に応募いただいた、履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。直ちに対処を行い、2023年11月10日に、これらの書類は閲覧できない状態であることを確認しております。現時点において、履歴書および職務経歴書の不正利用等は報告されておりません。   

本事案について、一般財団法人 日本情報経済社会推進協会(JIPDEC)に報告いたしました。  

対象となられた皆さまには多大なご迷惑とご心配をお掛けいたしましたこと、深くお詫び申し上げます。 

1.本事案の概要と経緯   

2023年11月8日に、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっている旨のご連絡をいただきました。   

これを受け、直ちに調査を開始したところ、当該資料が、当社コーポレートサイトのフォルダに格納されておりましたが、そのフォルダが誤って「公開」の設定になっていることを確認し、直ちに対処するとともに、2023年11月10日に、これらの書類がすべて閲覧できない状態であることを確認いたしました。   

今回問題となった採用応募フォームは、2019年5月1日から2023年4月14日までの間、運用されており、この期間に応募いただいた履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。

(1)閲覧を確認した又は閲覧のおそれがある情報     
a)応募者様の数       
閲覧のおそれがある応募者様の数(※106名) 
※2023年11月11日付公表の108名の中に、2名の重複がありました。     

b)情報の内容       
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。 


(2)発生原因   
今回問題となった採用応募フォームは、外部ツールを利用して、制作していました。本外部ツールは、採用応募フォームに添付して送信したファイル(履歴書および職務経歴書のファイル)をフォルダに配置するようになっており、外部ツールの仕様の理解不足から、このフォルダが誤って「公開」の設定になっていました。さらに、外部公開されているフォルダにファイルを保管し続けておりました。   
この結果、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっていました。

2.再発防止策と今後の対応 

(1)再発防止策   
今後、ウェブサイト制作において、以下のルールを周知徹底するとともに、ルールが厳守されていることを監視・点検し、今回のような事案が決して再発しないよう、取り組んでまいります。

・外部ツールの利用の有無、利用目的の明確化、責任者による利用承認 
・制作したウェブサイトから入力された取扱情報および格納場所の明確化 
・取扱情報の公開・非公開の確認および、責任者による妥当性の承認   

当社内部における、採用応募の手順を見直し、当社コーポレートサイトからの応募書類(履歴書・職務経歴書など)は、直接メールで受け取るようにいたします。コーポレートサイト以外からの応募書類については、指定のツールやサイトを介し、受け取るようにします。受け取った応募書類は、人事関係者だけが非公開の場所で取り扱うように徹底し、採用活動が完了した応募書類は、直ちに破棄するとともに、責任者が監視・点検してまいります。 

(2)閲覧を確認した又は閲覧のおそれがある応募者様への対応 
現在までに閲覧を確認した又は閲覧のおそれがある応募者様につきましては、書面にてご連絡を差し上げます。

【セキュリティ事件簿#2023-451】ジュテック株式会社 ランサムウェア攻撃に関するお知らせとお詫び


このたび、弊社は、弊社サーバ等に対して第三者による不正アクセスを受け、ランサムウェア攻撃による被害を受けましたので、お知らせいたします。なお、現時点では、暗号化の対象となったデータの漏えいは確認されておりません。

本件につきましては、既に、外部専門家の助言のもと、被害状況、原因等の調査を行い、また、発覚後速やかに、個人情報保護委員会に報告を行うとともに、警察への被害申告及び相談を行い、所轄警察署に被害届を提出し受理されております。

取引先様をはじめ、多くの関係者の皆様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。全社員が一丸となって再発防止に努めて参る所存ですので、何卒ご理解賜りますようお願い申し上げます。

1. 概要及び原因

攻撃者は、流出済みのVPN の認証情報を利用し、弊社の業務用サーバ等に不正にアクセスし、ランサムウェアを実行し、データの暗号化を行ったものと考えられます。なお、フォレンジック調査及びダークウェブ調査を行っておりますが、現時点で、暗号化の対象となったデータの漏えいは確認されておりません。

2. 被害を受けた可能性のある情報等

被害を受けた可能性のある情報等は、以下のとおりです。詳細につきましては、後記のお問い合わせ先までご連絡ください

(1) 個人情報
弊社従業員(退職者を含みます。)の氏名、住所、扶養家族の概要、給与、評価など人事に関する情報
採用にご応募いただいた方の氏名、住所、ご提出いただいた資料等の情報
取引先担当者様の氏名、所属、連絡先等

(2) 取引先様に関する情報
弊社のお客様及び仕入先様の会社概要、取引内容、商品に関する情報等

3. 発覚の経緯及びこれまでの対応状況
  •  8 月28 日、弊社の業務用サーバへのアクセス障害を確認し、ランサムウェア攻撃を受けたことを認識しました。弊社は、直ちに関係する端末をネットワークから切断するとともに、システムの運用・保守を委託しているベンダーと連携し、被害状況の調査及びシステムの復旧に着手しました。なお、攻撃者からは、対象となったPCの画面を通じて金銭の支払いを要求するメッセージを受領しましたが、弊社はこれに応じておりません。
  •  同日、大阪府警察に被害を申告しました。
  •  同月31 日、個人情報保護委員会に対し個人情報保護法に基づく速報を行いました。
  •  9 月11 日、所轄警察署に被害届を提出しました。
  •  同月12 日、フォレンジック調査会社に調査を依頼しました。
  •  10 月10 日、セキュリティベンダー及びサイバーセキュリティを専門とする弁護士に相談し、これ以降、継続的に助言を受けております。
  •  同月12 日、フォレンジック調査が完了し、報告書を受領しました。
  •  同月26 日、個人情報保護委員会に対し個人情報保護法に基づく確報を行いました。

4. 再発防止策

  • 今回のランサムウェア攻撃は、VPN を通じた不正アクセスによって行われたことから、より脆弱性管理が容易なリモートアクセス方式を導入しました。
  • クラウドサービスへのアクセスについて、端末証明書を導入し、外部からアクセスできないようにしました。
  • 不審なアクセスを検知し、マルウェアを実行前に検知・隔離するソリューションを導入しました。
  • セキュリティポリシーの見直し、定期的な従業員への教育、サイバー攻撃対応訓練の実施、不審な操作等の監視などを行うことを決定し、順次実行予定です。

【セキュリティ事件簿#2023-450】雲雀丘学園中学校・高等学校 個人情報を記録したUSBメモリの紛失について(お詫び)


このたび、本校において、個人情報を記録したUSBメモリの紛失がありました。関係の皆様に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。

記録されていた情報は、朝礼時に実施している高校3年生の「国語小テスト」(令和5年4月から10月に実施分)の成績(名前、点数)約270人分及び試験問題です。つきましては、高校3年生の生徒の皆さんに経緯の説明と謝罪を行うとともに、高校3年保護者の皆様を対象に臨時保護者会を実施いたします。

本校としては、学校法人雲雀丘学園が定めた「個人情報保護に関する学園共通の遵守事項」の教職員への周知徹底を図るとともに、再び同様の事態が生じないよう日常的に点検を行うなど、再発防止に取り組んでまいります。

【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)


2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。

当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名(以下、当該審査員)が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿(過去のものを含む)が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。

関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。

※2 コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称

1.本事案の概要と経緯

2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。

これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。

なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。

その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿(一般社団法人日本印刷産業連合会は2008年から2011年)が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。

(1)漏えいを確認した又は漏えいのおそれがある情報

①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数 1社
漏えいのおそれがある事業者様の数
最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)

b)情報の内容
<事業者様情報>
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス(当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中)
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

<審査関連資料>
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制

②審査員名簿※3
 ※3 当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数(当協会642名、一般社団法人日本印刷産業連合会27名)

b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

(2)発生原因

①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。

ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。

しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。

このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。

本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。

②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。

2.再発防止策と今後の対応

(1)再発防止策

①当協会と審査業務委託契約を締結している全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示しました。また、個人所有のパソコンでの審査作業を全面的に禁止いたしました。今後は、当協会が貸与する十分なセキュリティ対策(他の機器との接続不可を含む。)を施したパソコンのみを用いて審査業務を行うこととします。(貸与完了予定時期:本年12月)

また、全ての審査員に対して、審査関連資料の適切な取扱いを改めて周知徹底するとともに、貸与パソコンの取扱状況の監視・点検を行います。

さらに、これらに関する定期的な研修を強化し、今回のような事案が決して再発しないよう、取り組んでまいります。

②上記①の措置が確実に行われていることを担保するために、担当部門が行う貸与パソコンの取扱い状況の監視・点検や審査員研修の実施状況について、担当部門以外の者が定期的に監査するなど、当協会としての監査体制を強化します。

③他の審査機関の審査員に対しても、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示したことを確認しました。また、各審査機関の実態をふまえて、当協会と同じようなレベルでのセキュリティを確保するよう要請しました。

(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応

現在までに漏えいを確認した事業者様及び漏えいのおそれがある事業者様につきましては、既に書面にてご連絡を差し上げております。専用のご相談窓口(コールセンター)を設置いたしましたので、ご不明な点等がございましたらご連絡ください。また、個人情報の漏えいのおそれがある審査員につきましても、既にご連絡いたしております。

【セキュリティ事件簿#2023-448】株式会社アイテス 当社に対するランサムウェア攻撃による情報流出の可能性に関するお詫びとご報告

 

この度、当社のシステムが外部からランサムウェアによる攻撃を受けた事を確認しましたのでお知らせ致します。現時点において、取引先関係者様に関する情報の不正利用などの事実は確認されておりませんが、取引先関係者様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

なお、社外で運用しております当社ホームページや、メールサーバ等には被害が及んでいない事を確認しております。

【概要】

2023年10月20日(金)に、当社の社内サーバに対しランサムウェアによる攻撃があり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。

(1)発生日時:2023 年10 月20 日(金)午前1 時00 分頃

(2)流出した可能性がある情報:調査中

事象確認後、すべての社内サーバについてはネットワークから隔離いたしました。現在も調査を継続しており、今後新たな情報が判明しましたら、随時ご報告致します。なお、個人情報保護委員会への報告や警察への届け出等の対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報管理体制の強化に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-447】グラントマト株式会社 当社サーバへの不正アクセスについて

 

グラントマト株式会社(以下「当社」といいます。)は、本年10月27日、当社の一部のサーバに対し、第三者による不正アクセスを受けたことを確認いたしました。直ちに、外部専門機関の協力を得て調査を行い、状況を確認した結果、不正アクセスを受けたサーバ内に保存されていた情報の一部が暗号化され、流出した可能性があることが判明しましたので、ご報告いたします。

現在、不正アクセスを受けたサーバ内に保存されていた情報について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。

関係する皆さまには、多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。お客様やお取引先様におかれましては、不審なメールや通知が届いた場合は、開封及びリンク先へアクセスせず、直ちに当社までご連絡いただきますよう宜しくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生(8 月 23 日付お知らせ)に関する 社内調査ならびに第三者調査完了について

当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることにつき、2023 年 8 月 23 日に当社ウェブサイトにお知らせを掲載いたしました。

前回ご報告以降に継続実施した社内調査、ならびにセキュリティ専門ベンダーによる第三者調査が完了いたしましたので、以下の通りご報告いたします。

関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【第三者調査の結果について】

攻撃者の不正アクセスによる被害は、前回ご報告の通り当社アカウント管理システム(ディレクトリサーバー)のデータが外部流出した可能性のみであり、他の形跡がないことを改めて確認いたしました。

【外部に流出した可能性がある個人情報の内容】 

(下記(1)~(2)の合計 13,434 件)

(1)当社が管理しているグループアドレスに登録されているお客様・取引先様の情報(8,236 件)

・お客様・取引先様ドメインのメールアドレスおよび氏名

個人情報が流出した可能性がある皆様には、2023 年 8 月 24日に本件をお知らせするメールを送信いたしました。

(メール通知が無い方に関しては、本件の対象外とご認識いただいて問題ございません)

※当社アカウント管理システム(ディレクトリサーバー)にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

(2)当社および当社グループ会社の社員および協力会社社員などのアカウント情報(5,198 件)

・当社および当社グループ各社が発行したユーザーID

・当社および当社グループ各社が発行したメールアドレス

・名前(漢字)

・名前(ローマ字)

・会社名

・部署名

・組織コード

・社員番号

・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

(1)行政機関への報告

経済産業省ならびに個人情報保護委員会に対し、第三者調査の結果を受け、2023 年10月16日に「確報」を提出いたしました。

(2)個人情報が流出した可能性がある方への対応

該当される皆様には、前述の通り、個別にメールでお知らせいたしました。

外部から受けた攻撃の手口等詳細については、行政機関に報告および相談を行っており、本お知らせ等の発信内容についても、連携して進めさせていただいております。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ