【セキュリティ事件簿#2023-500】株式会社丹青社 業務委託先からの個人情報漏洩に関するお詫びとお知らせ


当社がIRニュースメールの配信業務を委託していた外部委託会社のサーバーが不正アクセスを受けたことにより、当社保有の個人情報の一部が漏洩していることが判明しました。関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。既に10月30日付で当社コーポレートウェブサイトにお知らせ「当社からのメールを装ったなりすましメールにご注意ください」を掲載しておりますが、その後の対応と再発防止策について以下のとおりお知らせします。

当社におきましては、今回の事実を厳粛に受け止め、同様の事態が再び発生しないよう、業務委託先の管理監督を含め個人情報管理体制の一層の強化を図ってまいります。

1.経緯

2023年10月30日、当社従業員および取引先が、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」を多数受信しました。同時に警視庁サイバー犯罪対策課から、業務委託先のサーバーが乗っ取られている可能性を指摘され、本事態を把握しました。

同日中に業務委託先のサーバーへのドメイン許可を停止し、当社ドメインからメールが送信されることがないように対処しました。あわせて当社コーポレートウェブサイトのお知らせにて社外への注意喚起を行い、二次被害拡大の防止に取り組みました。
なお、本件については、個人情報保護委員会および一般財団法人日本情報経済社会推進協会へ適時報告を行っております。

2.漏洩した個人情報

(1)個人情報の項目
  当社IRニュースメールに登録されているメールアドレス。
  ※銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
(2)対象者と件数
  株主、投資家、顧客、従業員のメールアドレス641件。

3.発生原因

当社の業務委託先のサーバーに対して第三者からの不正アクセスがあったことが原因と認識しております。

4.二次被害またはそのおそれの有無

漏洩したメールアドレス宛に、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」が複数件送信されたことを確認いたしました。
なお、既にサーバーへのドメイン許可を停止しているため、現在は同事象の発生はありません。

5.再発防止策

当該委託会社への業務委託を2023年11月で停止し、現在は適格性を確認できた新たな委託先へ契約変更しています。
また、従業員への教育や業務委託先の適格性の審査・確認、継続的な管理監督を実施し、当社の個人情報管理体制の一層の強化を図ってまいります。