2024/01/22

【セキュリティ事件簿#2023-492】伊丹市 委託事業者による個人情報の流出事案の発生について


伊丹市が事業を委託する事業者が利用するシステムに、第三者からの不正アクセスがありましたので、お知らせします。

このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。
なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

1 対象事業

(1)委託事業名 令和5年度伊丹市特定保健指導(ICT機器活用型)業務委託
(2)委託事業者 株式会社Y4.com

2 事案の概要

12月18日(月曜)、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報が外部に流出したとの報告がありました。

不正アクセスは12月10日(日曜)に行われ、12月11日(月曜)に事業者が本事案を確認しました。その後、事業者により詳細な調査が開始され、12月14日(木曜)に本市に流出の可能性があることの第1報を受けました。

なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

〈参考〉特定保健指導(ICT機器活用型)について
40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

3 サービスに記録されていた情報

20人分の氏名、住所、性別、生年月日、被保険者番号、健診結果

4 対応状況等

・12月18日(月曜)午後、事業者のホームページに本事案を公表しております。
※事業者が問い合わせ窓口(電話・メール)を開設しています。
株式会社Y4.com 個人情報お問い合わせ窓口
電話番号 092-406-3833(受付時間 10時~17時、土日祝日を除く)
メール info@y-4.jp

・今回の流出事案に関して、国の個人情報保護委員会に報告しました。

5 本市の対応状況

漏洩が確認された方に対し、市と事業者より、電話連絡等でお詫びと状況報告を実施いたしました。

6 再発防止策

事業者側において、影響を受けたシステムのセキュリティ強化と、パスワードの変更により対応します。今後の調査で、脆弱性が判明した際には、さらなるセキュリティレベルの向上と再発防止策を実施予定です。