当社が管理する一部の公式Facebookのアカウントが、2024年3月29日、第三者からの不正ログインが行われた事が判明いたしました。
これまでに個人情報の流出等、二次被害は確認されておりませんが、万が一、当社を装ったダイレクトメールや外部サイトに誘導するURLが付いた案内等が届いた場合は、開かないようご注意のほどお願い申し上げます。
現在、該当する公式Facebookページは停止しております。関係者の皆様には、ご心配をおかけしており誠に申し訳ございません。安全性が確認され次第、ページを再開する予定ですので、準備が整いましたら改めてお知らせいたします。
当社は今回の事態を重く受け止め、今まで以上にセキュリティ体制を強化し、再発防止を徹底してまいります。
株式会社DONUTSがX(旧ツイッター)に開設している「NEXT IDOL GRANDPRIX」 のアカウントが、2024年4月6日、第三者からの不正アクセスにより、乗っ取られていたことが判明しました。現在、当社の関知しない更新が確認されているほか、当社による更新が行えない状態となっております。
これまでに個人情報の流出等、二次被害は確認されていません。万が一「NEXT IDOL GRANDPRIX」を装った連絡や外部サイトに誘導するURLが付いたダイレクトメッセージ等が届いた場合には開かないようご注意願います。
X社には、乗っ取られた旨の報告と解決を依頼中です。最新状況につきましてはこちらのページにて公開してまいります。
関係者の皆さまにはご心配とご迷惑をおかけし、深くお詫び申し上げます。
当社は今回の事態を深刻に受け止め、再発防止を徹底します。
2024年4月2日、弊社のメールサービスを管理している運営会社様より連絡があり、弊社スタッフ1名のメールアカウントが不正アクセスの被害に遭い、当該アカウントがスパムメール送信の踏み台とされていたことが判明いたしました。
弊社のメールアドレスのドメイン: @erii.co.jpから不審なメールが届いていたら、本文中に記載のURLを開いたり、添付ファイルを開いたりせずに、メールを削除していただきますようお願いいたします。
ご迷惑をおかけしてしまった関係者の皆様には深くお詫び申し上げます。
個人情報保護委員会(以下「当委員会」という。)は、令和6年3月25日、株式会社エムケイシステム(以下「エムケイ社」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
このたび、弊社が管理・運用しておりますGoogleアカウントへの不正アクセスのため、弊社による当該アカウントの一切の操作が不能な状態となっておりますことをご報告申し上げます。
また本事案により、弊社がこれまでに主催、または顧客の皆様から委託等を受けて企画・運営しておりました各種大会・イベント等に関連するSNS等についても乗っ取られる被害が判明しております。
現在、二次被害は確認されておりませんが、万が一弊社や弊社の関係者を装ったダイレクトメッセージなどが届いた場合については、お取扱いにご注意いただきますようお願い申し上げます。
本事案における被害の内容や詳細な経緯等については鋭意調査を続けておりますが、現時点で判明している事実および弊社の対応につきまして、下記のとおりご報告いたします。
関係者の皆さまに多大なるご迷惑とご心配をお掛けすることとなり、深くお詫びいたします。
弊社が管理・運用するGoogleアカウントについて、不明の第三者の不正アクセスによるログイン情報等の書き換えが行われていることが判明いたしました。
これにより、当該アカウントを通じたGoogle社提供の各サービス、当該アカウントをIDとするSNS等へのログイン及び一切の操作ができない状態となっております。
① 当該アカウントによるGoogle社の各サービスの利用・操作等が一切不能であるため、アカウント内の情報等について確認できない状況
② Xアカウント「AUTOBACS JEGT GRAND PRIX(@Jegt_GP)」の乗っ取り被害
③ YouTubeチャンネル「JEGT GP Official(@jegtgpofficial3702)」の乗っ取り被害
現在、二次被害の防止を最優先に、警察への相談、個人情報等情報漏えいの可能性を含む被害状況の確認、原因の調査、アカウント凍結・復旧に向けた対処を進めております。引き続き調査を進め、お知らせすべき内容が判明した場合は、速やかにお知らせいたします。
弊社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、弊社における各種情報管理体制やセキュリティシステム等を強化し、再発防止に努めてまいります。
このたび、当社のアジア大洋州グループ会社におきまして、悪意ある第三者による虚偽の指示に基づき資金を流出させる事態が発生致しました。
当社及び当社アジア大洋州グループ会社は、資金流出発覚後まもなく、指示が虚偽であることに気づき犯罪に巻き込まれた可能性が高いと判断し、弁護士等による対策チーム体制を組織の上、関係各国の捜査機関に対し被害の報告を行いました。捜査に全面的に協力するとともに、流出した資金の保全・回収手続きに全力を尽くしております。
また外部弁護士3 名にて構成される調査委員会を組成いたしました。事実関係の調査と原因究明、再発防止策の提言等を行い、再発防止に努めていきます。
加えて調査結果に基づき、管理監督も含めた社内関係者の処分に対しても検討してまいります。
株主の皆さまを始め多くの皆さまにご迷惑とご心配をおかけすることとなりましたこと、深くお詫び申し上げます。
なお、本事案に伴い発生する損失につきましては、当連結会計年度に特別損失として計上する予定です。
損失見込額: 最大 約 34 億円(本年 1月 31 日時点)
発生時期: 2023 年 12 月上旬から2023 年12 月中旬
本件につきましては、捜査上の機密保持のため、現時点ではこれ以上の詳細の開示は差し控えさせていただきます。
今後、捜査に進展があり、開示すべき事項が発生した場合には、速やかに開示させていただきます。
ご理解とご了承のほど宜しくお願い申し上げます。
株式会社スリー・ディー・マトリックス(本社:東京都千代田区、代表取締役社長:岡田淳)は、2023 年 12 月下旬から 2024 年1月上旬にかけて、取引先を装った複数のメールによる虚偽の支払い指示に応じ、当該取引先の真実の銀行口座と異なる銀行口座に対して誤って代金を支払ってしまう送金詐欺による資金流出被害が生じたことが判明しましたので、お知らせいたします。
① 2023 年 12 月 19 日以降年末にかけて、2023 年 12 月末に支払いが予定されていた約 86 万US ドルの原料代金支払いについて、取引先(以下、「A 社」という)の名を騙ったメールで支払口座の変更の依頼(以下、かかるメール送信者を「犯人」という)があり、これに応じて虚偽の銀行口座に代金を支払いました。
② 2024 年1月初旬、別の代金支払について同じく A 社の名を騙ったメールにより支払いの要請があり、この要請の一部の 50 万 US ドルの支払いに応じることにしましたが、かかる支払いについても再度別の銀行口座に支払うよう指示があり、この虚偽の銀行口座に対して支払いました。
多数の民間事業者及び地方公共団体等から委託を受け株式会社 NTT マーケティングアクト ProCX(以下「ProCX 社」という。)が行っていたコールセンター事業に関し、コールセンター業務で用いるシステムの保守運用を同社から委託された NTT ビジネスソリューションズ株式会社(以下「BS 社」という。)に所属し、システム保守運用業務に従事していた者が、委託元の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより、漏えいした事案である。
「(資料1-2)株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(詳細資料)」(以下「詳細版」という。)を参照。
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。
本日、一部のSNSにて、中古パソコンを購入後、Windows設定時にNTTコミュニケーションズ株式会社(以下 NTT Com)の設定画面が表示される件についての投稿がございましたが、当社におけるパソコン利用終了時のサーバー上の設定情報の削除漏れの影響であることを確認いたしました。
パソコンを購入された方にはご迷惑、ご心配をおかけしたことをお詫び申し上げます。なお、本件に伴う当社が取り扱う情報の漏洩はございません。
当社の利用終了パソコンを中古にて購入後、Windows設定時にNTT Comの設定画面が表示される事象が発生しております。
NTT Comの社用パソコンにおいては、従業員がWindows設定を実施するために、各端末のハードウェアIDをMicrosoft社サーバーに登録し、起動時に自動的に社内向けのセットアップが出来るようにしております。
社用パソコンの利用終了時には、社用パソコン内のファイルや設定情報については全て削除した上で利用終了していますが、Microsoft社のサーバーからハードウェアIDを削除すべきところ、この削除が一部漏れておりました。
該当のパソコンにおいて、Windows設定時にNTT Comの社名が表示されますが、ログインはできず、また当社が取り扱う情報も残存していません。
当社にてサーバー上のハードウェアID削除の作業を順次進めております。ハードウェアID削除完了後、NTT Comの設定画面は表示されなくなります。
島根県が過去に使用したドメイン(ホームページアドレス)について、運用停止後にオークションサイトでの売買等により、第三者に再取得されていることが判明しました。
これらのホームページに係る事業は既に終了しており、下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。
・syokujusai-shimane2020.jp(第71回全国植樹祭しまね)【林業課】
・gotoeat-shimane.jp(GoToEatキャンペーンしまね)【しまねブランド推進課】
・shimane-goen.jp(ご縁の国しまね)【観光振興課】
・shimane-ninsho.jp(島根県新型コロナ対策認証店認証制度)【薬事衛生課】
・smalruby-koshien.jp(スモウルビー・プログラミング甲子園開催事業)【産業振興課】
・shimane-monodukuri.jp(しまねものづくり人材育成支援Navi)【雇用政策課】
・上記1に掲載のドメインへリンクを張っているウェブサイトの管理者へ削除を依頼
・県民等への周知
・庁内へドメイン管理の注意事項を周知徹底
個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。
四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。
四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。
法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。
四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。
こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。
本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。
事案発生、管理職へ報告、管理職・職員による当該パソコンのネットワーク接続遮断
京都教育大学 CSIRT による調査開始
調査結果としてファイル等の流出がなかったこと、他のパソコン及びサーバーへのアクセスはなかったことを確認
個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。
本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。
本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。
野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。
野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。
野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。
(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。
(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。
(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。
