【セキュリティ事件簿#2024-049】株式会社近大アシスト 不正アクセスによる個人情報の流出について(お詫び)

株式会社近大アシスト

令和5年(2023年)12月29日にご報告いたしましたとおり、このたび、当社のメールサーバーに不正アクセスがあり、当社ECサイトの顧客を中心とする近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々の個人情報が漏えいしたことが発覚いたしました。

現在までに270名分の個人情報漏えいが判明しており、他に被害がないか引き続き調査を行っております。なお、本日までに本件の情報流出による二次被害の報告はなく、ECサイトは令和5年(2023年)12月28日から運営を停止しております。

令和5年(2023年)12月29日の発表については、こちら(https://kindai-a.co.jp/news/668/)をご確認ください。

該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態が発生したことを重く受け止め、引き続き被害の正確な把握と原因究明に努めるとともに、再発防止に向けて個人情報のより厳格な取り扱いと管理徹底に取り組んでまいります。

事案の内容

令和5年(2023年)12月9日、当社社員のメールアドレス宛に、メールデータをエクスポートしたという通知が届きました。本人に身に覚えがなかったため、メールサーバーの管理会社に問い合わせたところ、何者かが当社社員のメールアカウントに不正にログインしたうえ、当該アカウントを利用し、メールサーバーに不正にアクセスした形跡が見つかりました。

不正にログインされたメールアカウントは3つあり、そのうちの1つを使用して個人情報が記載されたメールデータが抜き取られ、そこには少なくとも263名分の個人情報が記載されていました。また、残り2つのメールアカウントでも、7名分の個人情報が閲覧された可能性がございます。

個人情報を抜き取られた263名のうち261名は、パソコンや実習着などを販売している当社運営のECサイト(アシストショップ)で、令和5年(2023年)3月から同年12月までの間に商品を購入した近畿大学学生および近畿大学病院職員の方々であり、残りの2名は当社が下宿先の紹介を行った近畿大学病院採用予定者の方々です。また、個人情報を閲覧された可能性のある7名は、近畿大学学生、卒業生および他大学教員の方々です。

流出した個人情報の項目

(1)ECサイトを利用された学生様及び病院職員様のもの(261人)


・氏名、電話番号、メールアドレス、住所、ECサイトでの購入品目

※クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

(2)住宅紹介を利用された令和6年(2024年)4月採用予定者様のもの(2人)


・氏名、電話番号、メールアドレス、住所

閲覧された可能性がある個人情報の項目

当社が印刷業務を受託した学生様、卒業生様及び他大学教員様のもの(7人)

・氏名、電話番号、メールアドレス、住所

対応

・被害に遭われた近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々に対し、状況の説明及びお詫びの通知の送付。

・不正アクセスを行った者を特定するため、引き続き調査。

・個人情報保護委員会へ報告。

・警察への情報提供。

再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

  • 社内システムにおけるパスワードの複雑化、再設定および秘匿化
  • よりセキュリティレベルの高いメールサービスへの移行
  • 管理体制の見直しとシステム専門委託業者の導入によるシステム部門の強化
  • 不正アクセスの有無についての定期的なチェック体制の構築
  • 社内向け情報セキュリティ講習の実施

関係者の皆様へのお詫びと本件に関するお問い合わせ先

該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げるとともに、該当する皆様および関係者の方々に、お詫びとお知らせを個別にご連絡いたします。

ご質問やご心配なことがございましたら、以下のお問い合わせ先までご連絡いただきますようお願い申し上げます。