雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2023-495】仙台市 懲戒処分の公表について
【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について
【セキュリティ事件簿#2023-470】NHK 取材に関する情報の流出について
【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ
【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)
1.本事案の概要と経緯
(1)漏えいを確認した又は漏えいのおそれがある情報
(2)発生原因
2.再発防止策と今後の対応
(1)再発防止策
(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応
【セキュリティ事件簿#2023-439】大阪市 大阪市立中学校における個人情報を含む文書の漏えいについて
1 概要と事実経過
2 再利用された個人情報を含む文書と記載内容
- 平成29年度10月 振替結果一覧表(給食)1項
学年、組、生徒名、口座番号、口座名義、振替不能理由 - 平成29年度10月 振替結果一覧表(給食)2項
学年、組、生徒名、口座番号、口座名義、振替不能理由 - 平成29年度4・5月分学校給食費督促状作成リスト
学年、組、生徒名、保護者名、郵便番号、住所、未納金額 - 給食費未納一覧(年度不明)
保護者名、生徒名等
3 判明後の対応
4 原因
5 再発防止について
【セキュリティ事件簿#2023-416】株式会社NTTマーケティングアクトProCX NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
当社(株式会社NTTマーケティングアクトProCX)が利用するコールセンタシステムの運用保守業務を担うNTTビジネスソリューションズ株式会社(以下、NTTビジネスソリューションズ)において、同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)がお客さま情報を不正に持ち出し、第三者に流出させていたことが判明いたしました。
不正に持ち出されたお客さま情報は、当社へテレマーケティング業務を委託いただいていた一部のクライアントさまのお客さま情報であることを確認しました。
クライアントさま並びにクライアントさまのお客さまへ多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
1.概要
当社が利用するコールセンタシステムを提供するNTTビジネスソリューションズの同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、お客さま情報を不正に持ち出し。
(1)不正に持ち出された件数
お客さま数:約900万件 クライアント数:59(現時点判明分)
※今後新たな情報が判明いたしましたら、随時公表してまいります。
(2)不正に持ち出されたお客さま情報の内容
クライアントさまよりお預かりしたお客さま情報(氏名/住所/電話番号等)
2.本件に関する対応と再発防止策
当社及びNTTビジネスソリューションズは、今回の事案を厳粛に受け止め、クライアントさまのご不安の解消に向けて対応いたします。
まず、本テレマーケティング業務については、システム面および運用管理面から緊急的な対処策を講じ、新たに不正な情報持ち出しが生じることを抑止しました。さらに、今後、お客さま情報を取り扱う全業務について再点検を実施することで、個人情報管理体制の一層の強化を図ってまいります。加えて、当社及びNTTビジネスソリューションズの従業員に対して、これまで以上に情報の取り扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関わる当事者意識の醸成を図ってまいります。
3.クライアントさまへのご対応について
クライアントさまのお客さまへの対応に向けて、クライアントさまのお考えをお伺いしながら、お客さまの特定に向けた対応を始めています。また、その後のお客さまへの対応については、クライアントさまのお考えをお伺いしながら、クライアントさまに真摯に向き合って対応してまいります。
【セキュリティ事件簿#2023-394】双日株式会社 当社元社員の逮捕について
本日、当社元社員が不正競争防止法違反の容疑で警視庁に逮捕されたと発表がありました。
このような事態に至り、お客様や株主などステークホルダーの皆様に多大なご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。
当社グループでは、かねてより、その持続的な成長と企業価値の向上のためにはコンプライアンスを徹底することが不可欠であると考え、特に、情報管理に関しては、キャリア入社社員に対して、前職で業務上知り得た機密情報を当社に持ち込まないことについて明記した誓約書を入社時に差入させるなどの未然防止および社員の教育と啓蒙に努めてまいりました。そのような中、このたび、上記元社員が、前職企業から情報を不正に持ち出したとして逮捕されたことは極めて遺憾です。当社で調査した結果、上記元社員に情報の持ち出しを指示したなどの事実、および情報を当社事業に不正に用いたとの事実など、組織的関与は把握しておりません。
しかしながら、引き続き捜査に全面的に協力するとともに、事態を重く受け止め、再発防止に向けたいっそうの取り組みを実施してまいります。
【セキュリティ事件簿#2023-399】日本山村硝子株式会社 当社元社員の逮捕について
本日、当社の元社員が、兵庫県警察に不正競争防止法違反の容疑で逮捕されました。
このような事件が発生し、株主の皆様、取引先ならびに当社に関係する全ての方々に多大なるご心配とご迷惑をお掛けいたしましたこと、深くお詫び申し上げます。
本事案は、当該元社員が当社の機密情報を無断で社外に持ち出したというものです。2022 年6月に本件が判明し、社内調査を実施した結果、当社は、2022 年 11 月に当該元社員を懲戒解雇処分としました。
持ち出された情報については、ガラスびんの軽量化に関する当社固有の製造技術の情報であり、当社に関係する全ての皆様方に係る情報(個人情報、当社の取引先に関する情報等)は一切含まれておりません。
また、社内で検証した結果、当社のシステムやネットワークに対する外部からの不正アクセスの形跡や、不正プログラム等の検知はございませんでした。
なお、捜査や公判への影響を避ける必要があることから、詳細の公表は差し控えさせていただきます。
当社はこれまで、捜査当局からの協力要請に対し全面的に協力してきましたが、引き続き協力していくと共に、営業秘密の管理体制を一層強化し、再発防止に向けて取り組んでまいります。
【セキュリティ事件簿#2023-397】薩摩川内市 令和5年度上半期 懲戒処分の公表について(市長部局)
【セキュリティ事件簿#2023-394】兼松株式会社 元従業員の逮捕について
【セキュリティ事件簿#2023-392】内閣府職員の不正行為: 公益財団に対する情報を意図的に漏洩
2023年9月29日、内閣府は公益法人行政担当室に所属する職員Aが公益財団の職員から受け取った情報を故意にその公益財団に漏らしていたことを公表しました。
この情報提供は2022年10月に行われ、職員Aは公益財団のウェブサイトの問い合わせフォームを通じて情報提供の事実と情報提供者の氏名を漏らしました。
この事態は2023年8月に情報提供者が国を相手に訴訟を起こしたことで明らかとなりました。
職員Aは、この漏洩事件を認め、その時点で文部科学省から公益法人行政担当室に出向していたことも判明しました。
内閣府の公益法人行政担当室はこの事件を受けて、マニュアルを改訂し、研修を強化することで再発防止を図ると明言しています。
【セキュリティ事件簿#2023-391】三重県 宇治山田高校における高校生活入門講座参加登録者の個人メールアドレスの再漏洩について 2023年09月27日
1 要旨
宇治山田高校において、高校生活入門講座参加登録者421名に対し、メールアドレスが宛先欄に入ったメールが送信され、再度、メールアドレスが漏洩しました。
2 内容
(前回の概要)
令和5年9月19日(火)、本校教頭が高校生活入門講座参加登録者421名に、入門講座のアンケートへの回答依頼のメールを送信した際、メールアドレスを宛先欄に入力して送信したことにより、メールアドレスが漏洩しました。
(今回の概要)
・9月26日(火)11時26分、教頭が、19日の誤送信メールを整理した際、メール機能について十分に理解しないまま操作を行ったため、高校生活入門講座参加登録者421名にメールアドレスが宛先欄に入ったメールが自動的に送信されました。
・教頭は、19日付メールを削除する目的で、メールの「メッセージの取り消し」機能を使用しました。「メッセージの取り消し」機能では、送信済みのメールは削除できず、19日付メールの送信先全員に「このメールを取り消します」旨が自動的に送信されました。宛先も19日と同様の状態で送信されました。
・11時30分頃、入門講座参加登録者の保護者から学校に電話で「メールが届いたが、今回もアドレスが見られる状態にある」と指摘があり、漏洩が判明しました。
・13時06分に、学校から参加登録者全員にお詫びと、再度削除依頼のメールを送信しました。
3 今後の対応
今後、決してこのようなことのないよう、改めてメールアドレスの管理を確実に行うとともに、アプリケーションソフトの操作方法についての研修を深め、再発防止を徹底します。
【セキュリティ事件簿#2023-371】中学校で生徒のGoogleアカウントのパスワード一覧が教師のずさんな管理により漏れる ~何故に教員はパスワード一覧を印刷して持ち歩くかねー~
岡山県の津山市教育委員会は22日、市内の中学校で、生徒2人がほかの生徒のグーグルアカウントを使って、不正にアクセスしていたと発表した。
市教委などは不正アクセス禁止法違反などの疑いもあるとみて津山署に相談している。市教委によると、4月13日の授業中、生徒1人が、教壇の上に置いてあった1クラス約30人分の名前やID、パスワードを記載した一覧表を、教員が教壇を離れた隙にタブレットのカメラを使って撮影した。
夏休みに入った7月末以降、この生徒を含む2人が、計8人のアカウントを使ってアクセスした。
その上で、2人は嫌がらせやからかい目的に、それぞれが保存している体育や音楽の課題に取り組む動画をダウンロードしたり、壁紙を貼り替えたりした。
校外への流出は確認されていないという。
9月14日、ほかの生徒の保護者から「不正アクセスのうわさがある」との情報が学校に寄せられて発覚した。
一覧表は職員室内で取り扱う決まりになっていたが、教員はパスワードを忘れた生徒のため、印刷して持ち出したという。
【セキュリティ事件簿#2023-363】元勤務先のクラウドシステムにある名刺情報数万人分を転職先に提供してタイーホされる。
2023年9月15日、警視庁は、以前勤務していた人材派遣会社の名刺情報管理システムにアクセス可能なIDやパスワードを転職先の同僚に提供し、システム内の個人情報を不正に提供したとして、会社員の人見正喜容疑者(43歳、埼玉県川口市在住)を個人情報保護法違反と不正アクセス禁止法違反の疑いで逮捕した。
事件の背景には、人見容疑者が以前勤務していた会社が使用していた名刺情報管理システム「Sansan」へのアクセス情報を、転職先の社員に提供したことがある。このシステムには、営業先の数万件の名刺データが保管されており、共有されたIDやパスワードを使用することで、これらの情報を全て閲覧することが可能だった。
人見容疑者は、「転職先での営業に使えると思った」との理由でこの行為を行ったと容疑を認めている。また、不正に得た名刺情報を元に、転職先での営業活動が行われ、実際に成約に至った事例も存在するとされている。
この事件は、個人情報保護法の不正提供罪を適用した初のケースとなり、関連する法律や規定の見直しの必要性が浮き彫りとなった。
【セキュリティ事件簿#2023-352】茨城・土浦市役所職員、同僚の人事情報を不正収集し書類送検される。
男性職員は、2021年12月18日に市のサーバーから836人の職員の情報を収集し、私用のハードディスクに保存していたとされています。彼はこの行為について、「自らの評価を上げるため、希望部署などの職員の評価を知りたかった」と説明しています。また、彼は今年3月から休職中であり、外部への情報の漏洩は確認されていません。
土浦市役所はこの事件について、市民や関係者に対して謝罪し、新たなセキュリティーシステムの導入や職員教育の強化を行うとの声明を発表しました。
【セキュリティ事件簿#2023-340】オリエンタルエアブリッジ株式会社 退職者による社内情報のデータ持ち出しについて 2023年8月28日
【セキュリティ事件簿#2023-319】日置市 懲戒処分の公表 2023年8月4日
(1) 教育委員会 主査 ( 36歳)
ア 概要
当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、 令和5年1月1日から4月 21日までの間に、 61人、延べ697回にわたり不正ログインを行い、メール等の閲覧を行った。また、人事評価記録書等の電子データを自身の業務用パソコンに保存した。イ 処 分
職 名 等 処分内容 期 間 備 考 教育委員会 主査 減給( 1/10) 3月 8月4日付け
(2) 教育委員会 課長補佐 ( 58歳)ア 概要当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、令和5年1月1日から4月 21日までの間に、 14人、延べ 38回にわたり不正ログインを行い、メール等の閲覧を行った。また、職員の給与明細の閲覧を行った。イ 処分
職 名 等 処分内容 期 間 備 考 教育委員会 課長補佐 戒告 - 8月4日付け
(3) 産業建設部 主事補 ( 23歳)ア 概要当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、令和5年1月1日から4月 21日までの間に、 37人、延べ232回にわたり不正ログインを行い、メール等の閲覧を行った。イ 処分
職 名 等 処分内容 期 間 備 考 産業建設部 主事補 戒告 - 8月4日付け
(4) 管理監督責任(当時含む)所属長を厳重注意(8月4日付け)
【セキュリティ事件簿#2023-314】株式会社ビジョナリーホールディングス お客さまの個人情報漏洩並びに不正利用の可能性のお知らせとお詫びについて 2023 年 8 月 15 日
8 月~11 月
- 前代表の星﨑氏の主導の下、当社旧永福町店、旧千歳船橋店が法律上有効な手続きを経ずに「星組経営会議メンバー」が代表者を務める一社に事業譲渡される
2 月 4 日
- 今回 DM が届いた当社社員の顧客情報が検索される
- 上記含め 2022 年 8 月~2023 年 3 月 28 日までに旧永福町店と旧千歳船橋店の顧客情報 4,061 名分が検索される
8 月 11 日
- 当社社員宛に「永福眼鏡店」から DM が到着
8 月 12 日
- 該当社員の個人情報が不当に事業譲渡をされたプロセスで貸与されていた当社 POS で検索された形跡を確認
8 月 13 日
- 2022 年 8 月~2023 年 3 月 28 日まで貸与 PC で顧客検索がされていたことが判明
- 顧客の視力測定結果が記入されたものが 5,707 件、聴力測定結果が記入されたものが 151 件、それぞれ紙の状態で「永福眼鏡店」「ちとふな眼鏡店」にそのまま保管されている可能性があることが判明
① 顧客情報件数:最大 4,061 件内容:・氏名 ・性別 ・生年月日 ・国籍 ・住所 ・電話番号(自宅、携帯)・メールアドレス ・メガネ使用歴 ・購入した商品、サービスの全ての種類、金額、時期・作成したレンズの度数・購入したコンタクトレンズのパラメータ・購入がない来店履歴(調整・クリーニング等) ・DM 送付履歴・有料延長保証、コンタクト定期便などサブスクリプションサービスの加入状況・支払い方法(現金・カード・QR、バーコード決済等)・家族の利用歴※クレジットカード情報など決済に必要な情報は含まれておりません
②顧客視力測定結果件数:最大 5,707 件内容:・氏名 ・性別 ・生年月日 ・住所 ・電話番号(自宅、携帯)・メールアドレス ・メガネ使用歴 ・購入した商品、サービスの全ての種類、金額、時期・作成前のメガネや目の使用状況など・作成したレンズに必要な視力測定データなど ・決定した度数・有料延長保証、コンタクト定期便などサブスクリプションサービスの加入有無※クレジットカード情報など決済に必要な情報は含まれておりません
③顧客聴力測定結果
件数:最大 151 件
内容:・氏名 ・性別 ・生年月日 ・住所 ・電話番号(自宅、携帯)
・メールアドレス ・補聴器使用歴 ・購入した商品の種類、金額、時期
・作成前の聞こえの状況など ・作成した補聴器に必要であった聴力測定データなど
・補聴器のフィッティング、調整履歴
※クレジットカード情報など決済に必要な情報は含まれておりません
4. お客さまへのお願い
- 当社旧永福町店、千歳船橋店を過去にご利用の方、あるいはその他当社店舗のご利用でも該当店舗周辺にお住まいの方で、メガネ、コンタクトレンズ、補聴器等の案内を行う心当たりのない不審なDM、電話、メールなどがありましたら、以下 6 に記載の電話番号までご一報いただけますようお願いを申し上げます
5. 今後の対応
- 個人情報の漏洩の可能性があるお客さまには本日から順次郵送でご連絡してまいります
- 調査の進捗があり次第、当社ホームページ並びにプレスリリースで公表してまいります
- 警察等と相談しながら不正取得の経緯と範囲を早急に把握しつつ、適切な対応と再発防止策を取って参ります