【セキュリティ事件簿#2024-078】淀川河川公園管理センター 淀川河川公園施設予約システム「よどいこ!」への不正通信による 個人情報流出の可能性に関するお詫びとお知らせ 2024/3/7

淀川河川公園

この度、一般財団法人公園財団淀川河川公園管理センター(以下、当センター)が運営する施設予約 WEB サイト「よどいこ!」(以下、「よどいこ!」)に対して、外部からの不正通信が発生し、それにより当センターが保有していたお客様の個人情報の一部が流出した可能性があることが確認されました。

お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化に努めてまいります。

なお、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。

今後の調査の進捗に応じて状況が変動する可能性がございますが、現時点で確認している事実と当センターの対応状況をご報告いたします。

1.経緯

2024 年 3 月 1 日、当センターが運営する「よどいこ!」のシステム改修作業を担当している業務委託先(以下、委託先)より、テスト環境下で構築作業を行っていた新規サーバ(以下、テストサーバ)に対し、外部からの不正通信があったことが確認された旨の報告があり、ただちにテストサーバー及び現在運用中の本サーバーを停止いたしました。

この不正通信によりお客様の個人情報の流出があった可能性があり、現在具体的な被害内容を調査中です。

2.流出した可能性のある個人情報の内容

上記により流出した可能性のある個人情報は、「よどいこ!」に登録されたすべてのお客様約34,000 件の個人情報データで、お客様の氏名、生年月日、性別、住所、電話番号、メールアドレス、銀行口座、よどいこ!ログイン ID、ログインパスワードとなっています。

なお、該当するお客様につきましては、メールまたは郵送にて順次個別の通知をさせていただいております。

3.お客様へのお願い

流出した可能性のある個人情報のうち〔メールアドレス〕及び〔口座番号〕については、第三者が簡単にデータの内容を解読できない暗号化された状態で保管されています。また、「よどいこ!」のシステムは、お客様の銀行口座とは直接連動しておりません。したがいまして、今回の不正通信に起因して、お客様の銀行口座の情報が悪用される心配は低いと思われますが、二次被害防止の観点から、以下の事項につきましてご留意いただきますようお願い申し上げます。

  • 本日現在、二次被害等は確認されていないものの、万が一、「よどいこ!」に登録されているメールアドレスに対し身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。

  • また、見知らぬ番号より、不審な電話があった場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

  • 特に、国土交通省及び淀川河川公園管理センターから個人情報をお伺いしたり、ウェブサイト(URL)へのアクセスをお願いしたりすることはないため、国土交通省及び淀川河川公園管理センターからのご連絡を装ったメールや電話等にご注意いただきたきますようお願いいたします。

  • 「よどいこ!」で登録されていたパスワードを他の WEB サイト等でもご利用されている場合は、念のため変更をしていただきますようお願いいたします。

  • 身に覚えのない代引き商品等が届いた場合は受け取りを拒否していただきますようお願いいたします。

  • 登録された金融機関において、暗証番号に誕生日など類推しやすい番号を使われていたり、長期間パスワードの変更をしていないお客様には、暗証番号・パスワードの変更をお勧めいたします。

4.「よどいこ!」の再開および 4 月分の運動施設利用に係る抽選について

「よどいこ!」のシステム運用再開日は現時点で未定となります。

したがいまして 4 月分の施設利用の抽選につきましては、抽選方法が決定次第、本ホームページで公開いたします。

「よどいこ!」のシステム運用再開後、ログインパスワードの変更をお願いします。ログインパスワードの変更は、パソコンやスマートフォンで行うことができます。また、電話でも受付いたします。

5.不正通信に関するお問い合わせ

本件におけるお問い合わせの専用窓口を設置させていただきます。専用窓口の電話番号等は決定次第、本ホームページでお知らせいたします。

6.不正通信の原因と今後の対応、再発防止策等について

(1)原因、初期対応等

(原因)

2024 年 2 月 26 日より、「よどいこ!」の改修作業を進める工程の中、テストサーバーにお客様情報を投入し運用確認を行うため、テストサーバーを稼働させていたところ、悪意のある第三者による不正通信が発生したことが原因です。

(初期対応)

①「 テストサーバーの停止(2024 年 3 月 1 日)
②「 当サイトの一時閉鎖(2024 年 3 月 1 日から第三者機関調査終了後に安全が確認できるまで)

(行政への届出)

①個人情報保護委員会へ報告済み
②管轄の警察署へ通報済み

(2)今後の対応と再発防止策について

①事実調査の実施

・第三者機関である外部専門企業に依頼し、今回の不正通信に関する事実確認及び原因調査を行います。

②再発防止策

・再発防止策につきましては、今後、第三者機関である外部専門企業の調査結果を踏まえ検討していく所存です。

なお、今後新たな情報が判明した場合は、本ホームページにて報告いたします。
現時点でのご案内は以上のとおりでございます。皆様にご心配をおかけしておりますこと、心よりお詫び申し上げます。

Labels: