【セキュリティ事件簿#2023-435】東京海上日動火災保険株式会社 保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び


東京海上日動火災保険株式会社(取締役社長:広瀬 伸一、以下「当社」)は、保険の募集・管理で利用するために保険代理店向けに提供しているシステム(以下「代理店システム」)において、適切な参照範囲の設定を行っていなかったことにより、当社の一部の代理店が本来はアクセスしてはならない他保険会社や当社のお客様情報にアクセスできる状態となっていたことが判明いたしましたのでご報告いたします。

当社および各保険会社のお客様、代理店・各保険会社の皆様に大変なご心配、ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

1.事案の背景

当社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けております。一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしております。
この統括代理店と勤務型代理店は共同してお客様対応を行うことから、代理店システム上において取り扱いのある生命保険および損害保険のお客様情報を共有しております。一方、勤務型代理店が関与することのない、統括代理店が取り扱うお客様情報について、勤務型代理店がアクセスできないよう、代理店システム上制限をかけることとしておりました。


2.事案の概要

今般の事案は、当社による事務ミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が以下のお客様情報にアクセスできる状態となっていたことが代理店から当社への参照制限に関する照会により判明したものです。

<アクセス可能となっていたお客様情報>
お名前、ご住所、お電話・FAX 番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など

<参照範囲が適切に制限されていなかったことにより発生した事象>
① 勤務型代理店がお取り扱いしていない契約も含め、統括代理店がお取り扱いする他保険会社(※1)のお客様情報にアクセスできる状態となっていたもの
(※1)保険会社共同ゲートウェイというデータ通信サービスを通じ、データ提供を行っている他保険会社の保険契約等の情報を代理店にて一元管理することが可能となっております(当社が他保険会社のお客様情報を見ることができるものではありません)。

② 当社からの代理店委託のない勤務型代理店が、代理店システム上で当社から送信される統括代理店宛ての通知や契約事務のペンディング状況等に関する配信(※2)を通じて、統括代理店扱いの当社のお客様情報にアクセスできる状態となっていたもの。
(※2)当社からの代理店委託がない勤務型代理店においても、東京海上日動あんしん生命保険(以下、あんしん生命)の委託があれば当社の代理店システムを活用しております。

③ あんしん生命の委託のない勤務型代理店においても、②と同様に、あんしん生命のお客様情報にアクセスできる状態となっていたもの。

3.対象代理店

それぞれの事象における対象代理店は以下のとおりです。
① 他保険会社のお客様情報
統括代理店 214 店
② 当社のお客様情報
統括代理店 11 店
③ あんしん生命のお客様情報
統括代理店 165 店

4.対応について

判明した参照制限の設定誤りについては是正対応を完了しており、現在は不適切なアクセスができない状態となっております。また、アクセス履歴が確認できたものから、勤務型代理店へのヒアリング等の確認を進めており、現時点で情報の不正使用は確認されておりません。引き続き、残存するアクセス履歴の調査を継続し、勤務型代理店による情報への不適切なアクセスが確認されたお客様に対しては、順次個別にお知らせしてまいります。

本件を真摯に受け止め、今後かかることのないよう、参照範囲の設定誤りが発生しない体制構築およびチェック体制の徹底強化により、再発防止を図ってまいります。