ラベル インシデント:内部犯行 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:内部犯行 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-084】福寿会足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7

福寿会足立東部病院
 

この度、当院にて不正アクセスが確認されました。

PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。

詳細は以下の通りです。

1.不正アクセス判明の経緯

資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。

内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。

2.不正アクセスがされた内容と対応

詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。

別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。

外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。

ログの調査は終了しており、外部への流出は認められませんでした。

3.病院運営及び個人情報への影響につきまして

医療情報システム(電子カルテ等)はインターネットから分離しており、診察への影響はございません。

当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。

院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。

4.今後の対応

セキュリティ教育を教材にて、即日法人全体で実施し、
令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。

【セキュリティ事件簿#2024-080】宇陀市はパスワードなど推測して不正アクセスしたメール覗き見職員を処分


2024年3月14日、奈良県宇陀市は、市民環境部の職員が庁内システムに不正アクセスし、他の職員のメールを閲覧していたことを発表しました。

事件の概要

  • 対象職員:61歳の再任用職員(元課長)
  • 不正アクセス期間:2020年度から2023年度
  • 不正閲覧件数:271件
  • 不正アクセス方法:
    • 他職員のIDとパスワードを推測
    • パスワードは初期設定のまま

発覚の経緯

  • 2024年2月、上司が共用パソコン内に不要なファイルを発見
  • 職員に事情聴取したところ、不正閲覧が発覚

不正閲覧の目的

  • 職員本人の話:「興味本位」

被害状況

  • 個人情報:閲覧なし(ログイン方法が異なるため)
  • 外部への情報流出:確認なし

市の対応

  • 職員を1ヶ月余りの停職処分
  • 当時の上司ら4人を厳重注意

事件へのコメント

  • 市長:「市民の信頼を損ねたことは誠に申し訳ない」
  • 再発防止策:職員向け研修の実施、パスワード管理の徹底

教訓

  • 自治体職員は高い倫理観と情報セキュリティ意識を持つ必要がある
  • パスワード管理は徹底する(推測しやすいパスワードは使用しない)
  • 不正行為を発見した場合は速やかに報告する

【セキュリティ事件簿#2024-073】広島県 県立高等学校職員の私用パソコンからの個人情報流出の可能性について 2024/3/1


県立広島工業高等学校に勤務する職員が自宅で使用していた私用パソコン1台から、職員等のメールアドレス4名分及び生徒 532 名分の個人情報が流出した可能性があることが判明した。

1 学校名等

広島工業高等学校(広島市南区出汐二丁目4-75)
校長氏名 神田 浩二(かんだ こうじ)

2 流出した可能性がある個人情報

(1) 職員等の個人情報 4名分の氏名、メールアドレス
(2) 当該職員が過去に勤務した学校で担当した生徒の個人情報 532 名分

3 経緯

  • 令和6年2月 24 日(土)、県立広島工業高等学校に勤務する職員が自宅で私用パソコンを使っていたところ、警告音とともにコンピュータウイルスへの感染を示す警告画面と連絡先が表示された。当該職員は不正アクセスであることを疑わず、表示された連絡先へ電話をかけ、相手の指示に従ってパソコンを操作したところ、パソコンの不正な遠隔操作が行われたため、ただちに警察に通報した。

  • 当該職員の私用パソコンには、所属校の生徒に係る個人情報は無かったものの、過去に勤務した学校のうち、3校の学校で当該職員が担当した生徒の個人情報が含まれていたため、本事案に係るパソコンの不正な遠隔操作によって当該データが流出した可能性がある。

  • 令和6年2月 26 日(月)、当該職員はこのことを所属校の校長に報告し、校長は個人情報流出の可能性があると判断し、県教育委員会にその旨を報告した。

4 今後の対応

  • 個人情報が流出した可能性のある生徒が在籍する学校に対し、二次被害を防ぐ対応について周知するとともに、個人情報流出が明らかになった場合には速やかに警察や関係機関と連携し、必要な対応を行う。

  • 当該職員の所属校に対して、再発防止のため、今回の事案を踏まえて、個人情報の適切な取扱いについて改善策を検討させるとともに、全ての県立学校に対し、管理職等を対象とした研修会等を通して広島県教育委員会情報セキュリティポリシー及び広島県教育情報ネットワークの規定を踏まえた個人情報の適切な取扱い及び管理方法等について、改めて指導する。

【セキュリティ事件簿#2024-059】ダイキン工業株式会社 仕入先様情報の漏洩可能性に関するお詫びとお知らせについて 2024/2/16

ダイキン

この度、当社のシステム開発案件において委託先であるダイキン情報システム株式会社が発注している日本電気株式会社(本社:東京都港区、再委託先)の委託先会社(再々委託先)の作業者が、個人情報を含むダイキン工業および国内関係会社の仕入先様情報を委託された利用目的によらずに不正ダウンロードしたことを2023年12月24日に検知しましたが、更なる情報漏洩が無いかを作業者の情報機器を全て回収し調査致しました。

電磁的記録の詳細調査に時間を要しましたが、当該作業者から第三者への漏洩の痕跡は確認されず、現時点において二次被害があったという事実は確認されておりません。万が一のこともあり皆様にお知らせするとともに、ご心配・ご迷惑をおかけしますことを深くお詫び申し上げます。今後適切な再発防止策を講じることで皆様からの信頼回復に努めてまいります。

1.発生原因

委託先作業者が私用目的で不正に情報をダウンロードしたことにより漏洩の可能性が生じました。

2.不正にダウンロードされた個人情報

仕入先様情報に含まれる仕入先ご担当者様氏名/住所/電話番号/振込先情報 約2.2万件

3.仕入先ご担当者様へのお願い

仕入先ご担当者様におかれましては、不審な連絡などに十分ご注意いただきますよう、お願い申し上げます。

4.今後の対応について-再発防止策

当社ではこれまでもセキュリティ対策を講じてまいりましたが、今回の事態が発生したことを真摯に受け止め、あらためて情報セキュリティ対策のより一層の強化を図り、再発防止に努めてまいります。具体的には、個人情報への適切な範囲でのアクセス権限設定、社内ネットワークセキュリティ対策、および委託先選定基準のセキュリティチェックの更なる強化に取り組んでおります。

【セキュリティ事件簿#2024-057】足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7

足立東部病院

この度、当院にて不正アクセスが確認されました。

PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。

詳細は以下の通りです。

1.不正アクセス判明の経緯

資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。

内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。

2.不正アクセスがされた内容と対応

詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。

別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。

外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。

ログの調査は終了しており、外部への流出は認められませんでした。

3.病院運営及び個人情報への影響につきまして

医療情報システム(電子カルテ等)はインターネットから分離しており、診察への影響はございません。

当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。

院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。

4.今後の対応

セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。

【セキュリティ事件簿#2023-107】個人情報保護委員会 株式会社 NTT ドコモ及び株式会社 NTT ネクシアに対する 個人情報の保護に関する法律に基づく行政上の対応について

 

個人情報保護委員会は、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)に基づき、株式会社 NTT ドコモ及び株式会社 NTTネクシアに対し、令和6年2月 15 日に個人情報保護法第 147 条に基づく指導等を行いましたので、お知らせいたします。

1.事案の概要

ドコモ社は、自社インターネットサービス等に関する事業について、サービス・商品の提案等を行うため、個人データを取り扱っている。

ドコモ社は、これらの事業に関し、ネクシア社に対し、電話営業用の顧客情報管理(以下「本件業務」という。)を含む業務を委託していたところ、ネクシア社の派遣社員であった者(以下「X」という。)が、令和5年3月 30 日、顧客情報管理のために業務上使用する PC(以下「本件 PC」という。)から、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データ(以下「本件個人データ」という。)を同クラウドサービスへアップロードすることにより、外部に流出させ、漏えいのおそれが発生した。

2.事案発生に至った原因

(1) 基準不適合事項

本件業務は、令和4年7月、ドコモ社が株式会社 NTT ぷらら(以下「ぷらら社」という。)を吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件業務に関するネットワーク等の執務環境(本件 PC を含む。)については、以下の①及び②のような、ドコモ社が定めた情報管理規程に一部適合しない事項(以下「基準不適合事項」という。)が存在した。

① 顧客情報を取り扱う場合は専用の PC を利用し、顧客情報を取り扱う PC においてはインターネット及びメールの利用が制限される必要があるが、これらの制限が実施されていなかった。

② 顧客情報(ファイルシステム及びデータベース)の暗号化が必要であるところ、これが行われていなかった。

(2) 追加的運用ルール

ドコモ社は、この基準不適合事項について、速やかに技術的な対応を行うことが困難であると判断した。そこで、ドコモ社は、本件業務を行う際は、以下に例示したような、ぷらら社における運用ルール(以下「追加的運用ルール」という。)に従うことを条件とし、令和4
年 12 月までの時限的例外措置として、基準不適合事項を許容することとした。

・ PC で実施した作業データは、当日中に全て削除すること
・ 業務上不要な私的インターネット接続の禁止
・ 社外へのデータ送信時の手動暗号化徹底
・ 追加的運用ルールの遵守状況について定期的に自主点検を行うこと

さらに、ドコモ社は、その後、基準不適合事項への技術的な対応に時間を要すること等が判明したことから、追加的運用ルール遵守を条件に基準不適合事項を許容する期限を令和5年5月まで延長した。

(3) 本件漏えいのおそれの発生に至ったXの取扱い

Xは、本件業務にてデータ管理ツールを開発するにあたり、個人データが含まれた同ツールを本件 PC 内の自身しか把握していない保存場所にコピー保存の上で開発作業を実施していたところ、当日作業の終了時に至っても、本件 PC 上の同ツールを削除していなかった。さらに、Xは、業務上の必要性がないにもかかわらず、クラウドサービスに個人アカウントでログインし、本件個人データをアップロードした。

(4) 小括

このように、ドコモ社及びネクシア社においては、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されず、本件漏えいのおそれが発生した。

3.法律上の問題点

(1) ドコモ社

法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定しており、法第 25 条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定している。

しかしながら、ドコモ社では、個人情報等の取扱いについて、以下の問題点が認められた。

ア 物理的安全管理措置(個人データを取り扱う区域の管理)

ドコモ社では、情報管理規程で定めるところにより、顧客の個人データを取り扱う場合はインターネット及びメールの利用が制限された専用の PC を利用することとし、インターネット及びメールを利用する PC とは取扱区域を分けて管理するルールであった。

しかし、本件 PC は、個人データを取り扱うにもかかわらずインターネット及びメール利用の制限がなされておらず、当時の物理的安全管理措置(個人データを取り扱う区域の管理)は十分な状態とはいえなかった。

イ 技術的安全管理措置(情報システムの使用に伴う漏えい等の防止)

ドコモ社では、個人データの漏えい等を防止するための措置として、本件業務も含めて、ネットワーク監視を行っており、Xがクラウドサービスへアップロードした操作についても発生当日に検知し、当日中にXへの聴取と対象端末のネットワークからの切断を行っていたことからすれば、一定の処置を講じていたといえる。

しかし、本件業務に関するネットワーク環境についてみると、外部インターネットへのアクセス規制については、一部のサイトを接続不可と定めるブラックリスト方式で運用されており、ファイル共有サービス等のクラウドサービスも含めて、業務上不必要なサイトには接続できない設定とはしていなかったものであり、大量の顧客個人データを取り扱っているシステムであるにもかかわらず、漏えい等の防止の措置が十分ではなかった。

ウ 組織的安全管理措置(個人データの取扱いに係る規律に従った運用)の不備

ドコモ社は、前記ア及びイの物理的安全管理措置及び技術的安全管理措置に関する問題点について、前記2.(2)のとおり、組織的安全管理措置の徹底により総合的なリスクを低減させる方針を決定したものであるから、この決定に従った運用が実際に徹底されることが重要である。

ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況に対して、追加的運用ルールを規定し運用していたところ、本件業務における同運用確保のための取組では、日次で行わせる自主点検の結果を月次で確認することで、確実に徹底されていることを確認することとしていた。

しかし、上記取組では、自主点検において虚偽の申告が含まれないことを前提としているため、意図的に追加的運用ルールに反したXの取扱いは是正できず、また、自主点検結果の月次の確認では、いつ行われるか予測できない私的なインターネット接続を即時で検知できないものである。したがって、ドコモ社においては、個人データの取扱いに係る規律に従った運用に問題があり、組織的安全管理措置の不備があったものと言わざるを得ない。

エ 委託先の監督の不備(委託先における個人データの取扱状況の把握)

ドコモ社は、ネクシア社に対し、本件業務に関して、追加的運用ルールを遵守するよう周知していた。また、ネクシア社は、日次で、本人及び第三者にて業務終了時作業データの削除確認等を行い、その結果を管理簿に記録するという自主点検を実施し、この結果について、月次でドコモ社へ提出していた。

しかしながら、ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況でありながら、ネクシア社に対し、大量の個人データの取扱いを委託しているにもかかわらず、自ら又は外部の主体による監査を実施することはなく、ネクシア社の自主点検に任せ、月次で結果報告を受け取るだけであった。その結果として、X の不適切な行為を発見できず、本件漏えいのおそれの発生を未然に防ぐことができなかったものといえる。

また、Xの不適切な行為を自主点検により発見することができなかった理由として、ドコモ社は、Xが自主点検をすり抜けるという手口を使っていたことが要因である旨を回答している。しかしながら、ドコモ社がネクシア社に行わせていた自主点検は、従業者にデータを削除したことを自己申告させ、他の従業者がデスクトップ上に不要なデータが残っていないかどうかを確認するという簡易な方法にとどまっており、本件のように意図的にデータ削除せず、自身しか把握していないデスクトップ以外の場所に保存した場合は、発見され得ないことは容易に想定可能であるから、点検項目や点検の方法が不十分であったといえる。したがって、その報告を月次で受領し確認するだけであったドコモ社の委託元としての監督は、不十分であったと言わざるを得ない。

(2) ネクシア社

法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、ネクシア社では、個人情報等の取扱いについて、以下の問題点が認められた。

ア 組織的安全管理措置(取扱状況の把握及び安全管理措置の見直し)

ネクシア社では、自主点検は実施していたものの、他部署等による監査は実施しておらず、大量の個人データの取扱いがある本件業務において、Xが本件 PC 内に作業データを日常的に残しており、また、私的なインターネット接続を是正できなかったことを踏まえると、個人データの取扱状況の把握や安全管理措置の評価等が不十分であったと言わざるを得ず、組織的安全管理措置の不備が認められる。

イ 人的安全管理措置(従業者の教育)

ネクシア社では、派遣社員であるXを含む従業者に、情報セキュリティ遵守のため機密保持に関する誓約書を提出させ、また、情報セキュリティ研修の実施を行っていたものの、情報セキュリティ研修では、一般的な情報セキュリティの考え方及び法の令和2年改正部分を紹介するにとどまっており、大量の顧客データを管理する事業者における研修としては十分とはいえず、結果としてXによる本件漏えいのおそれの発生を防止するに至らなかった。

したがって、ネクシア社における従業者の教育は、従業者が適切な情報セキュリティの確保や個人データの適正な取扱いの重要性に関する認識を醸成するには不十分な内容であったと言わざるを得ず、人的安全管理措置の不備が認められる。

4.指導等の内容

(1) ドコモ社

  • 法第 23 条、法第 25 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
  • 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
  • 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。

(2) ネクシア社

  • 法第 23 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
  • 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
  • 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。

【セキュリティ事件簿#2024-035】豊郷町 個人情報の流出について(報告とお詫び)

 

このたび、個人情報の記載された名簿が流出し、町民の方々に多大なご迷惑をおかけしたことに対しまして、心よりお詫びします。今回、町職員が、このような不祥事を引き起こし、皆様の信頼を裏切る結果となりましたことは、痛恨の極みです。

今後は、このような事態を招いたことを反省し、速やかに全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止に取り組むことといたしました。

今後、調査・対策について、適時、町民の皆様にご報告いたしますので、ご理解をいただけますよう、お願いいたします。

 豊郷町長  伊藤 定勉 

現時点で判明していること、対応の経緯などをお知らせします。

1.事案発生の経緯

匿名住民より「字の役員名簿が詳しすぎる。役場から情報が漏洩していないか。」と相談があり、本職員への聞き取りにて名簿を紙で渡したことが発覚。現物は回収または破棄、現在追加調査中。

2.原因

職員の独断で、悪用がされないと判断し、個人情報の認識が不十分であった。

3.その他判明した内容

漏洩した内容:氏名(漢字・カナ)、住所、生年月日、性別、世帯主、続柄の書いた名簿

漏洩した件数:646件(過去分は含まず)

回収状況:今年分の名簿は回収済み(コピーも含む)

4.今後の対応

全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止対策に取り組んでいきます。

リリース文アーカイブ

【セキュリティ事件簿#2023-495】仙台市 懲戒処分の公表について


1 所属 

 総務局人材育成部

2 職位

 係長職

3 年代

 50歳代

4 処分の内容

 停職6月

5 処分の理由

市民局区政部において住民基本台帳事務を担当していた令和4年8月6日、業務とは関係ない私的な理由から、住民情報システムを用いて、知人女性の住所情報を不正に収集したもの。

また、令和3年6月30日に、総務局人事課から、当該女性に対するつきまとい行為等に係る指導を受けていたにもかかわらず、不正に収集した住所情報を用いて、複数回にわたり当該女性宅付近を訪れたほか、令和5年3月12日に当該女性宅前で待ち伏せ行為を行ったもの。

6 処分年月日

 令和5年12月1日

7 上司の処分

 訓告1名

【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について

7/6より一部報道されておりますとおり、弊社元社員が在職中から退職後までの数か月もの期間に、数十回における社内サーバー等に不正アクセスし、弊社従業員のPWをのっとるなどでの業務を妨害した容疑で今回逮捕されております。現時点で弊社が把握している限り、お客様およびお取引先様の個人情報を含め、保管データの外部流出は確認されておりません。

弊社は、今般の事態を踏まえ、情報管理体制の一層の強化およびコンプライアンス教育の徹底を図り、企業理念に沿ったマネジメントを推進することで再発防止に努めてまいります。

今後、弊社から公表すべき事柄が発生した場合には、速やかに開示いたします。



【セキュリティ事件簿#2023-470】NHK 取材に関する情報の流出について


NHKの記者が、 先月、 取材したインタビューの内容メモなどが、インターネット上に流出したことが分かりました。この内容メモに接することができる人物の中から流出させた者の特定を進めた結果、NNHKの子会社が契約している派遣スタッフが、 きょう、自分が流出させたと認めました。この派遣スタッフは、「 大変なことをしてしまい、申し訳ありません」と話しています。

NHKは、インタビューに協力していただいた方に、お詫びいたしました。

(NHKコメント)
「取材に関わる情報が外部に流出したことは、 取材対象者との信頼関係を損なうだけでなく、NHKに対する視聴者の皆さまからの信頼を損なう、あってはならないことで、深くお詫び申し上げます。 事実関係をさらに調査したうえで、厳正に対処してまいります。また、 管理体制を強化するなど再発防止策をとりまとめ、信頼の回復に努めます」

【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ

この度、弊社子会社㈱ダイナックパートナーズが運営受託しておりますゴルフ場(オータニにしきカントリークラブ)のレストランに勤務する従業員が、業務で知り得たお客様(2 名)の個人情報を本人の SNS で投稿するという事案が発生いたしました。弊社として今般の事態を厳粛に受け止め、当該関係者の皆様に誠意をもって謝罪させていただくとともに、当該従業員及び担当役員に対して厳正に処分を行う所存でございます。

弊社は、本事案を真摯に受け止め、個人情報保護に関する教育を再度徹底するとともに、再発防止に努めてまいります。この度は関係者の皆様に大変ご迷惑をおかけしましたことを深くお詫び申し上げます。



【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)


2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。

当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名(以下、当該審査員)が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿(過去のものを含む)が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。

関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。

※2 コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称

1.本事案の概要と経緯

2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。

これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。

なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。

その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿(一般社団法人日本印刷産業連合会は2008年から2011年)が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。

(1)漏えいを確認した又は漏えいのおそれがある情報

①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数 1社
漏えいのおそれがある事業者様の数
最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)

b)情報の内容
<事業者様情報>
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス(当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中)
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

<審査関連資料>
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制

②審査員名簿※3
 ※3 当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数(当協会642名、一般社団法人日本印刷産業連合会27名)

b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

(2)発生原因

①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。

ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。

しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。

このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。

本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。

②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。

2.再発防止策と今後の対応

(1)再発防止策

①当協会と審査業務委託契約を締結している全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示しました。また、個人所有のパソコンでの審査作業を全面的に禁止いたしました。今後は、当協会が貸与する十分なセキュリティ対策(他の機器との接続不可を含む。)を施したパソコンのみを用いて審査業務を行うこととします。(貸与完了予定時期:本年12月)

また、全ての審査員に対して、審査関連資料の適切な取扱いを改めて周知徹底するとともに、貸与パソコンの取扱状況の監視・点検を行います。

さらに、これらに関する定期的な研修を強化し、今回のような事案が決して再発しないよう、取り組んでまいります。

②上記①の措置が確実に行われていることを担保するために、担当部門が行う貸与パソコンの取扱い状況の監視・点検や審査員研修の実施状況について、担当部門以外の者が定期的に監査するなど、当協会としての監査体制を強化します。

③他の審査機関の審査員に対しても、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示したことを確認しました。また、各審査機関の実態をふまえて、当協会と同じようなレベルでのセキュリティを確保するよう要請しました。

(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応

現在までに漏えいを確認した事業者様及び漏えいのおそれがある事業者様につきましては、既に書面にてご連絡を差し上げております。専用のご相談窓口(コールセンター)を設置いたしましたので、ご不明な点等がございましたらご連絡ください。また、個人情報の漏えいのおそれがある審査員につきましても、既にご連絡いたしております。

【セキュリティ事件簿#2023-439】大阪市 大阪市立中学校における個人情報を含む文書の漏えいについて

大阪市立中学校の教員が、令和5年10月2日(月曜日)、「数学科単元テスト範囲表(以下、「テスト範囲表」という。)」を個人情報が記載された用紙を裏紙として再利用して印刷し、一部の生徒に対して配付していたことが判明しました。

このたびの事案が発生しましたことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1  概要と事実経過

令和5年10月2日(月曜日)18時20分頃、ある大阪市立中学校の教頭に、テスト範囲表を受け取った生徒の保護者から「配付されたテスト範囲表の裏に個人情報が記載されている」との連絡がありました。すぐに教頭が担当教員に確認したところ、9月28日(木曜日)の授業で3年生生徒にテスト範囲表を配付するにあたり、9月27日(水曜日)にA4サイズの裏紙35枚を再利用して計70部印刷した際、裏面に計28世帯69名の個人情報が記載されている用紙を一部再利用していたことが判明しました。

令和5年10月3日(火曜日)以降、教員がテスト範囲表を配付した生徒の全家庭を訪問した結果、配付した70部のうち54部を回収し、16部は家庭で破棄されていることを確認しました。また、回収した54部のうち8部が個人情報の含まれた文書を裏面として利用していたことが判明しました。

2  再利用された個人情報を含む文書と記載内容

  • 平成29年度10月 振替結果一覧表(給食)1項
    学年、組、生徒名、口座番号、口座名義、振替不能理由
  • 平成29年度10月 振替結果一覧表(給食)2項
    学年、組、生徒名、口座番号、口座名義、振替不能理由
  • 平成29年度4・5月分学校給食費督促状作成リスト
    学年、組、生徒名、保護者名、郵便番号、住所、未納金額
  • 給食費未納一覧(年度不明)
    保護者名、生徒名等
計28世帯69名分

3 判明後の対応

令和5年10月5日(木曜日)から10月13日(金曜日)までに、校長及び教頭が個人情報漏えいの対象となる家庭に訪問し、経過説明及び謝罪を終える見込みです。

4 原因

当該校では、個人情報が含まれる文書は再利用置き場に入れないよう周知していたものの周知が徹底していなかったこと、「テスト範囲表」の印刷及び配付時に裏面の確認をしていなかったこと、また、管理職による指導が不十分であったことが原因です。

5  再発防止について

教育委員会といたしましては、これまでも各校に対して個人情報の管理を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。

当該校に対しては、再発防止策として、個人情報を含む文書の適切な廃棄を徹底すること及び個人情報管理に関する校内規定を点検する等、管理の徹底を指導してまいります。

各校に対しては、今回の事案を共有するとともに注意喚起を図り、個人情報の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-416】株式会社NTTマーケティングアクトProCX NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)

当社(株式会社NTTマーケティングアクトProCX)が利用するコールセンタシステムの運用保守業務を担うNTTビジネスソリューションズ株式会社(以下、NTTビジネスソリューションズ)において、同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)がお客さま情報を不正に持ち出し、第三者に流出させていたことが判明いたしました。

不正に持ち出されたお客さま情報は、当社へテレマーケティング業務を委託いただいていた一部のクライアントさまのお客さま情報であることを確認しました。

クライアントさま並びにクライアントさまのお客さまへ多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

1.概要

当社が利用するコールセンタシステムを提供するNTTビジネスソリューションズの同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、お客さま情報を不正に持ち出し。

(1)不正に持ち出された件数

お客さま数:約900万件 クライアント数:59(現時点判明分)

※今後新たな情報が判明いたしましたら、随時公表してまいります。

(2)不正に持ち出されたお客さま情報の内容

クライアントさまよりお預かりしたお客さま情報(氏名/住所/電話番号等)

2.本件に関する対応と再発防止策

当社及びNTTビジネスソリューションズは、今回の事案を厳粛に受け止め、クライアントさまのご不安の解消に向けて対応いたします。

まず、本テレマーケティング業務については、システム面および運用管理面から緊急的な対処策を講じ、新たに不正な情報持ち出しが生じることを抑止しました。さらに、今後、お客さま情報を取り扱う全業務について再点検を実施することで、個人情報管理体制の一層の強化を図ってまいります。加えて、当社及びNTTビジネスソリューションズの従業員に対して、これまで以上に情報の取り扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関わる当事者意識の醸成を図ってまいります。

3.クライアントさまへのご対応について

クライアントさまのお客さまへの対応に向けて、クライアントさまのお考えをお伺いしながら、お客さまの特定に向けた対応を始めています。また、その後のお客さまへの対応については、クライアントさまのお考えをお伺いしながら、クライアントさまに真摯に向き合って対応してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-394】双日株式会社 当社元社員の逮捕について

 

本日、当社元社員が不正競争防止法違反の容疑で警視庁に逮捕されたと発表がありました。

このような事態に至り、お客様や株主などステークホルダーの皆様に多大なご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。

当社グループでは、かねてより、その持続的な成長と企業価値の向上のためにはコンプライアンスを徹底することが不可欠であると考え、特に、情報管理に関しては、キャリア入社社員に対して、前職で業務上知り得た機密情報を当社に持ち込まないことについて明記した誓約書を入社時に差入させるなどの未然防止および社員の教育と啓蒙に努めてまいりました。そのような中、このたび、上記元社員が、前職企業から情報を不正に持ち出したとして逮捕されたことは極めて遺憾です。当社で調査した結果、上記元社員に情報の持ち出しを指示したなどの事実、および情報を当社事業に不正に用いたとの事実など、組織的関与は把握しておりません。

しかしながら、引き続き捜査に全面的に協力するとともに、事態を重く受け止め、再発防止に向けたいっそうの取り組みを実施してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-399】日本山村硝子株式会社 当社元社員の逮捕について

 

本日、当社の元社員が、兵庫県警察に不正競争防止法違反の容疑で逮捕されました。

このような事件が発生し、株主の皆様、取引先ならびに当社に関係する全ての方々に多大なるご心配とご迷惑をお掛けいたしましたこと、深くお詫び申し上げます。

本事案は、当該元社員が当社の機密情報を無断で社外に持ち出したというものです。2022 年6月に本件が判明し、社内調査を実施した結果、当社は、2022 年 11 月に当該元社員を懲戒解雇処分としました。

持ち出された情報については、ガラスびんの軽量化に関する当社固有の製造技術の情報であり、当社に関係する全ての皆様方に係る情報(個人情報、当社の取引先に関する情報等)は一切含まれておりません。

また、社内で検証した結果、当社のシステムやネットワークに対する外部からの不正アクセスの形跡や、不正プログラム等の検知はございませんでした。

なお、捜査や公判への影響を避ける必要があることから、詳細の公表は差し控えさせていただきます。

当社はこれまで、捜査当局からの協力要請に対し全面的に協力してきましたが、引き続き協力していくと共に、営業秘密の管理体制を一層強化し、再発防止に向けて取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-397】薩摩川内市 令和5年度上半期 懲戒処分の公表について(市長部局)


鹿児島県薩摩川内市は、市民の個人情報を業務外で不適切にアクセスしたとして、水道局の40代職員を戒告の懲戒処分にし、上長には訓告処分を行ったと発表しました。この処分は9月27日付けで通知されました。市によると、職員は5月1日に市の住民情報システムを使って、漏水の問題で対応した住民の情報を業務終了後も2回閲覧していました。職員は約6カ月間漏水関連の調査業務に従事しており、閲覧した理由として、漏水を訴えた住民のその後が気になったためと述べ、悪意はなかったものの、業務外での閲覧については反省していると表明しました。また、職員は情報漏洩を否定しています。

この問題は、住民からの相談がきっかけで発覚しました。相談者は職員が第三者に対して住民の旧姓、年収、勤務地、親戚の住所などの個人情報を話していると訴えました。しかし、市の調査では、職員に与えられた閲覧権限を超えたアクセスは確認されず、親戚の住所については調べる手立てがないとされました。そのため、市は職員による第三者への情報漏洩はなかったと判断しました。

同市は再発防止策として、職員全体に対して個人情報の取り扱いを含むセキュリティ研修を進めるとともに、綱紀粛正の通知を発出しています。


【セキュリティ事件簿#2023-394】兼松株式会社 元従業員の逮捕について


昨日(2023/9/27)、昨年 6 月末に当社を退職した元従業員(以下「元従業員」)が不正競争防止法違反の容疑で警視庁に逮捕されました。

当社は、元従業員の退職後に実施した社内調査によって、元従業員が当社の営業秘密(以下「営業秘密」)を不正に取得した疑いがあることを把握したため、直ちに警視庁に相談し、捜査に全面的に協力して参りました。

本日現在、元従業員による営業秘密の不正利用や第三者に対する漏洩等は確認されておらず、公判への影響を避ける必要もございますので、詳細の公表は控えさせていただきます。

当社は、引き続き、捜査当局による捜査に全面的に協力して参ります。

【セキュリティ事件簿#2023-392】内閣府職員の不正行為: 公益財団に対する情報を意図的に漏洩

 

2023年9月29日、内閣府は公益法人行政担当室に所属する職員Aが公益財団の職員から受け取った情報を故意にその公益財団に漏らしていたことを公表しました。

この情報提供は2022年10月に行われ、職員Aは公益財団のウェブサイトの問い合わせフォームを通じて情報提供の事実と情報提供者の氏名を漏らしました。

この事態は2023年8月に情報提供者が国を相手に訴訟を起こしたことで明らかとなりました。

職員Aは、この漏洩事件を認め、その時点で文部科学省から公益法人行政担当室に出向していたことも判明しました。

内閣府の公益法人行政担当室はこの事件を受けて、マニュアルを改訂し、研修を強化することで再発防止を図ると明言しています​。

出典:内閣府の職員が公益財団に情報提供者の氏名や内容を流出

【セキュリティ事件簿#2023-391】三重県 宇治山田高校における高校生活入門講座参加登録者の個人メールアドレスの再漏洩について 2023年09月27日

 

1 要旨

宇治山田高校において、高校生活入門講座参加登録者421名に対し、メールアドレスが宛先欄に入ったメールが送信され、再度、メールアドレスが漏洩しました。

2 内容

(前回の概要)

令和5年9月19日(火)、本校教頭が高校生活入門講座参加登録者421名に、入門講座のアンケートへの回答依頼のメールを送信した際、メールアドレスを宛先欄に入力して送信したことにより、メールアドレスが漏洩しました。 

(今回の概要)

・9月26日(火)11時26分、教頭が、19日の誤送信メールを整理した際、メール機能について十分に理解しないまま操作を行ったため、高校生活入門講座参加登録者421名にメールアドレスが宛先欄に入ったメールが自動的に送信されました。

・教頭は、19日付メールを削除する目的で、メールの「メッセージの取り消し」機能を使用しました。「メッセージの取り消し」機能では、送信済みのメールは削除できず、19日付メールの送信先全員に「このメールを取り消します」旨が自動的に送信されました。宛先も19日と同様の状態で送信されました。

・11時30分頃、入門講座参加登録者の保護者から学校に電話で「メールが届いたが、今回もアドレスが見られる状態にある」と指摘があり、漏洩が判明しました。

・13時06分に、学校から参加登録者全員にお詫びと、再度削除依頼のメールを送信しました。


3 今後の対応

今後、決してこのようなことのないよう、改めてメールアドレスの管理を確実に行うとともに、アプリケーションソフトの操作方法についての研修を深め、再発防止を徹底します。