弊社の業務委託先である株式会社イセトーがランサムウェアの攻撃を受けたことにより、弊社からの発送物の印刷・封入・送付業務を委託するために弊社から提供していた個人情報が漏えいした件について、生徒、保護者、指導者をはじめとする皆様にご不安とご迷惑をおかけしておりますことを心よりお詫び申し上げます。
8月1日に株式会社イセトーからの最終報告を受けるとともに、以下のとおり、並行して行っていた弊社における全漏えいデータの調査も完了いたしましたので、ご報告申し上げます。
なお、現時点において漏えいした個人情報を悪用された事例は確認されておりません。
1.経緯
弊社の業務委託先である株式会社イセトーがランサムウェアによるサーバー攻撃を受けて個人情報が漏えいするという事案が発生し、2024年6月28日、弊社が業務委託している個人情報が当該攻撃を受けたサーバーに含まれていることが発覚いたしました(同年6月29日付弊社オフィシャルサイトにて公表させていただいております)。
株式会社イセトーより、漏えいした情報に、会員様の住所、電話番号、iKUMONサイトの認証コード・セキュリティコードの情報が含まれているとの報告を受けたことから、その情報が含まれている漏えいデータについて、弊社独自の調査を優先的に実施し、漏えいしたデータに上記情報が含まれていた4,678名を特定いたしました。2024年7月5日、その調査結果について弊社オフィシャルサイトにて公表し、あわせて同日以降順次、対象の皆様に対して登録のご住所に個別に「個人情報の漏えいに関するお詫びとお知らせ」(封筒に「重要文書在中/差出人:株式会社公文教育研究会」と記載)のお手紙をお送りいたしました。また、上記対象者以外の方に状況をご報告する為に、同年7月22日以降順次、教室経由でお手紙をお渡ししております。
その後、さらに弊社において調査を継続し、この度調査を完了いたしました。
その結果、下記2に記載のとおり、新たに個人情報の漏えいが判明いたしました。
なお、新たに漏えいが判明した個人情報には会員様の連絡先情報(住所または電話番号)は含まれておりません。
2.継続調査の結果、新たに判明した漏えい情報
会員情報について
1)2023年2月時点において算数・数学、英語、国語を学習いただいた会員様の以下の情報
■氏名、会員番号、学習教材、教室名、学年、入会年月、在籍月数
対象者数:724,998名
※2023年1月末までの退会者は含まれませんが、2月休会者は含みます。
2)2023年2月時点における公文認定テストの受験資格を満たした一部の会員様の以下の情報
■氏名、会員番号、学習教材、教室名、学年、受験可能な公文認定テストの種類、過去に合格した公文認定テストのうち最高位のテストの種類
対象者数:71,446名
※公文認定テストは公文教育研究会の内部テストです。高い教材に進んだ生徒の学力を確認する為に、予め、受験対象となる教材進度が定められ、その条件を満たした生徒が対象となります。
3)2023年度第2回(8月)公文認定テストを受験された一部の会員様の以下の情報
■氏名、会員番号、教室名、受験された公文認定テスト名・スコア・合格情報
対象者数:2名
4)2023年2月におけるBaby Kumon会員様の以下の情報
■氏名、生年月日、年齢、入会年月、教室名、保護者氏名
対象者数:9,922名
※2023年1月末までの退会者は含まれませんが、2月未実施の方は含みます。
上記各項目の対象者には重複する方がいらっしゃいますので、漏えい件数の総数は739,714名です。
指導者情報について
1)公文式指導者の以下の情報
■氏名、教室名、住所、教室電話番号、請求内容、銀行口座情報
対象者数:17,481名
※銀行口座情報については、1名を除き、銀行口座番号の下3桁はマスキングされている(例:1234***)ことが確認できております。なお、教室開設応募者の情報は含まれておりません。
3.今後の対応
上記対象の皆様に対して、9月中旬に個別にお手紙をお送りしてご報告させていただく予定です。
ご連絡にお時間を要しておりますことをお詫び申し上げます。
なお、0・1・2歳の親子向けサービスであるBaby Kumonの会員情報については、入会時に弊社では住所および電話番号の情報を取得していないため、ご連絡を差し上げることができません。そのため、お手数をおかけし大変申し訳ございませんが、対象者であるかどうかのご確認を希望される場合は、こちらのアンケートフォームから必要事項をご記入ください。
▼元・現Baby Kumon会員様ご案内送付情報入力フォーム|公文教育研究会
このアンケートフォームにてお問い合わせをいただき、対象者であったと判明した皆様には、アンケートフォームにご入力いただきましたご住所宛に個別にお手紙をお送りさせていただきます。
対象者ではなかった皆様には、アンケートフォームにご入力いただきましたメールアドレス宛に対象外であった旨のお知らせをお送りさせていただきます。
4.再発防止への取り組み
今後同様の被害を防止し、また万一の場合にも被害を最小限とするために、以下の対策の実施を進めております。また、今後も継続的に改善をしてまいります。再発防止に向けた取り組みとその改善は、皆様の個人情報を適切に管理するために弊社の最優先課題として取り組んでまいります。
■弊社業務委託先に対して:監督の強化と取引の見直し
これまで実施してきた委託先における安全管理措置に対する弊社の審査基準を厳格化し、その基準に基づく委託先の管理状況の再確認と取引の見直しを進めております。
本件が、業務委託先がランサムウェアによる攻撃を受けたことにより発生したものであることを踏まえて、とくに、会員データおよび指導者データの取り扱いを委託している委託先における不正アクセスへの具体的な対策とデータの消去を含めたデータ運用方法をより詳細に確認しております。
あわせて、上記の個人情報の安全管理が担保されるように、業務委託契約書や秘密保持契約書における委託先との契約条項を見直し、委託条件を厳格化いたします。
また、委託先における個人情報の管理状況の確認・審査に加えて、不定期の監査なども今後実施してまいります。
■弊社内でのルールの再徹底について:ルールの厳格化と社員教育の徹底
個人情報の取り扱いを委託する際に、下記の点を含め、情報の提供時、業務終了時の対応について、より詳細な手順を定め、ルールを強化するとともに、社員に対して既存のルールとあわせて周知・徹底を図っております。
・委託先に個人情報を含むデータ提供をする際に提供データを最小限とする
・業務終了時の委託先における提供データの削除・廃棄を徹底し、その確認と記録を行う
今後も継続して、個人情報の取り扱いを委託する際の社内ルール等を含む個人情報保護に関する社員研修を定期的に実施し、安全で適切な個人情報の取り扱いの徹底を図ってまいります。
【2024年6月29日リリース分】