ラベル インシデント:目的外使用 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:目的外使用 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-013】埼玉県 生徒の個人情報の流出について


県立越谷東高等学校において、1学期の成績一覧表が流出する事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1  事故の概要

令和6年1月17日(水曜日)、県立越谷東高等学校の職員1名が、同職員が担任するクラスの生徒39名の1学期成績一覧表が印刷された用紙の裏に、生徒への指示をメモして、係の生徒に教室掲示させた。

同一覧表が印刷されていることに気付いた生徒が別の生徒に伝え、伝えられた生徒がスマートフォンのカメラ機能で同一覧表を撮影し、他の生徒に同一覧表の画像を送信した。

2  個人情報の内容

同職員の担任するクラス生徒39名分の氏名・各科目の1学期の成績・各科目の1学期の欠課時数

3  学校の対応

1月19日(金曜日)     

同一覧表の画像を送受信した生徒に、画像を削除するよう指示するとともに、送信した生徒については画像の消去を確認。

全校の生徒、保護者に対して、画像の拡散禁止及び削除を依頼。

1月22日(月曜日)~ 

画像を受信した生徒に再度、画像の転送を行っていないこと、画像を消去したことを確認し、緊急集会にて全校生徒に事故の概要を説明し謝罪するとともに、保護者説明会にて事故の概要を説明し謝罪。

4  再発防止策

今後、校長会議等を通じて、改めて全県立学校に個人情報の適正な管理を徹底するよう指示する。


【セキュリティ事件簿#2023-339】総務省 NAVER Corporation への検索関連データの提供に関する 利用者周知及び安全管理措置の実施等について(指導及び要請) 2023年8月30日


貴社(ヤフー株式会社)においては、Yahoo!JAPAN の検索エンジン技術の開発・検証の観点から、NAVER Corporation(以下「NAVER 社」という。)に対して、令和5年5月 18 日から同年7月 26 日までの間の検索関連データの提供を試験的に行っていた(以下「試験運用」という。)。その際に、慎重な取扱いが求められる情報である位置情報等(約 756 万のユニークブラウザ分の検索クエリ等(うち、位置情報は約410 万のユニークブラウザ分))を利用者に対して事前の十分な周知を行うことなく、NAVER 社へ提供し利用させていたほか、NAVER 社により物理的に提供情報のコピー等を行うことが可能な状態となっていたなど、安全管理措置に不十分な点があった。

貴社の Yahoo!検索は、多くの利用者が日常的に利用しているサービスであることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、以下の措置を講ずることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる。

以上を踏まえ、下記の1及び2について、必要な措置を実施されたい。また、その実施状況について、1については、令和5年9月 29 日までに報告されたい。また、2については、対応次第、随時状況を報告されたい。なお、今後新たな懸念が生じた場合等には、追加的な報告や調査、措置の実施を求める可能性がある旨を御承知おき願いたい。

1 NAVER 社への検索関連データの提供に関し、以下の各事項のとおり実施されたい。
(1)利用者周知に関する事項
(ア)提供する位置情報及びその利用目的について、利用者が事前に十分に理解できるよう適切な方法で周知を行うこと。
(イ)試験運用において、(ア)の対応が未実施だったことを踏まえ、貴社組織における利用者の利益の保護に係るガバナンスの在り方について見直しを行うこと。
(ウ)利用者に対し、位置情報の提供に同意しない手段を用意することが望ましいと考えられるため、当該手段について検討を行うこと。

(2) 安全管理措置に関する事項
(ア) NAVER 社による位置情報のコピー等が物理的に不可能な状態となる措置(VDI の導入等)か、それと同等の措置を講ずること。
(イ) 貴社において、NAVER 社による安全管理措置の実施状況の監査を行う体制の構築等を図ること。

2 本事案が発生したことや、貴社が利用者の利益に及ぼす影響が大きい電気通信役務を提供していることを踏まえ、当該役務の高い信頼性を保持し、利用者が安心・安全で信頼できるサービスを選択できるよう、貴社が提供する電気通信役務に関し、特定利用者情報規律※に係る以下の対応を行うことが望ましい。
※電気通信事業法(昭和 59 年法律第 86 号)第 27 条の6及び同法第 27 条の8

(1) 次に掲げる事項の公表
①取得する特定利用者情報の内容(当該特定利用者情報を取得する方法を含む。)に関する事項
②特定利用者情報の利用の目的及び方法に関する事項
③特定利用者情報の安全管理の方法に関する次の事項
    • 安全管理措置の概要
    • 外国に所在する第三者に特定利用者情報の取扱いを委託する場合における、当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
④利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項
⑤過去 10 年間に生じた電気通信事業法第 28 条第1項第2号イ及びロに掲げる事故の時期及び内容の公表に関する事項

(2) 次に掲げる事項の総務省への報告
①特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する次に掲げる事項
    • 組織的安全管理措置に関すること。
    • 人的安全管理措置に関すること。
    • 物理的安全管理措置に関すること。
    • 技術的安全管理措置に関すること。
    • 特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握の体制に関すること。
②特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する次に掲げる事項
    • 委託先の選定の方法に関すること。
    • 委託契約において定める特定利用者情報の取扱いに関すること。
    • 委託先における特定利用者情報の取扱状況の把握の体制及び方法に関
③情報取扱方針の策定及び公表に関する事項
④電気通信事業法第 27 条の9の規定による評価に関する次に掲げる事項
    • 当該評価の実施並びに当該評価の結果の情報取扱規程及び情報取扱方針への反映の体制に関すること。
    • 当該評価を行う項目、方法及び頻度に関すること。
⑤特定利用者情報を取り扱う従事者に対する監督に関する事項

【セキュリティ事件簿#2023-313】千葉県警、国交省のシステムへの不正アクセスで職員を書類送検:関東運輸局のパスワード管理の問題も浮上


千葉県警は、国土交通省の車両情報管理システムに他人のIDとパスワードを使用して不正にアクセスした疑いで、独立行政法人自動車技術総合機構の31歳の男性職員を書類送検しました。この男性は、昨年の期間中に4回、関東運輸局千葉運輸支局習志野自動車検査登録所事務所のパソコンを使用して、システムに不正アクセスしたとされています。

調査によれば、このシステムには車検の結果などが記録されており、男性は8台の車の情報を不正に取得し、オーナーの名前や住所を調査したという。彼は「街で見かける改造車や気になる車の情報を調べたかった」と供述しています。この不正行為は、同機構からの通報を受けた国交省の職員が警察に相談したことで明らかとなりました。

事件の背景には、関東運輸局のずさんなパスワード管理が浮上しています。男性は、事務所の職員が帰宅した後に机の上に残されていたIDとパスワードのメモを利用してシステムにアクセスしていたとのこと。このような管理の甘さが、不正アクセスを許してしまった原因とも言えます。関東運輸局は、この事件を受けて、習志野事務所の全職員のパスワードを変更し、今後は管理方法の見直しや再発防止策を強化するとの声明を出しています。

【セキュリティ事件簿#2023-236】埼玉県 児童の個人情報を含む動画の流出について  2023年6月23日


県立特別支援学校坂戸ろう学園において、児童の個人情報を含む動画が一時的に外部から閲覧できる状態になる事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1 事故の概要

令和 5 年 6 月 16 日(金曜日)午後 5 時頃、県立特別支援学校坂戸ろう学園の職員 1 名が、自身の研究授業の動画を、同校職員に限定して公開する設定をして動画サイトに掲載した。

令和 5 年 6 月 17 日(土曜日)、動画サイトを閲覧した同校保護者が、同動画が職員以外にも閲覧できる状態になっていることに気付き、校長に報告し、事故が発覚した。

2 個人情報の内容

 小学部児童 3 名の映像、氏名

3 学校の対応

 6月18日(日曜日) 動画サイトから同動画を削除するとともに、当該児童3名の保護者に対して、事故の経緯を説明し謝罪した。

 6月22日(木曜日) 全保護者に対し文書で事故について報告するとともに謝罪した。

4 再発防止策

 今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。

【セキュリティ事件簿#2023-227】オープンワーク株式会社 「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告 2023年6月16日


当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、一部、サービス上での不適切利用があったことが発覚いたしました。

4 月 10 日にリリースした「リアルタイム応募状況」機能にて、ご本人の同意を得ずに「年齢、現年収、現職種、応募先求人、応募からの経過時間」を公開しておりました。本件発覚後、すみやかに機能の停止(6 月 16 日完了)を行っております。

本件の対象となるユーザー様には順次、ご連絡させていただきます。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。

本件に関する概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2023 年 4 月 10 日~6 月 16 日の間、OpenWork 上で「リアルタイム応募状況」機能として、求人に応募した方の「年齢、現年収、現職種、応募先求人、応募からの経過時間」を公開しておりました。6 月 16日、本機能に関する問い合わせがあり、社内の調査によって、不適切な個人情報利用であることが発覚いたしました。同日、18 時 30 分に機能の停止をしております。

2.「リアルタイム応募状況」機能上での公開詳細

【対象】
下記期間内に OpenWork 上で求人に応募した社会人ユーザーの一部(8,965 名分)の「年齢、現年収、現職種、応募先求人、応募からの経過時間」に関する情報

 ※上記情報以外の氏名やメールアドレス等の情報は公開しておりません

【期間】
2023 年 4 月 10 日~2023 年 6 月 16 日

3.ユーザーの皆様への対応について

2023 年 6 月 16 日 18 時 30 分に本機能を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4.再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、機能開発手順の見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報保護法上、個人情報の漏えいに該当致しますので、個人情報保護委員会および JIPDEC への報告を速やかに行います。

この度は、ご利用ユーザー様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-029】九州電力株式会社 九州電力送配電株式会社のNW設定端末の委託業務外利用に係る報告徴収の受領について 2023年1月18日


当社は、九州電力送配電株式会社(以下、九州電力送配電)が管理する当社以外の小売電気事業者のお客さま情報(以下、新電力顧客情報)を閲覧していたことが判明し、本日、電力・ガス取引監視等委員会および個人情報保護委員会から報告徴収を受領しました。

本事案は、2022年12月27日付の電力・ガス取引監視等委員会からの依頼に基づき調査を進める中で判明したものです。

これまでの調査で、当社および委託会社において、九州電力送配電から非常災害時等の供給支障事故対応用に貸与されている託送コールセンターシステム端末(注)の一部を、通常業務に使用していたことを確認いたしました。

 (注)新電力顧客情報を含む九州電力送配電のみが保有する託送関連情報の閲覧が可能

当社および委託会社の従業員に聞き取りをおこなった結果、同端末を
  • 他社から当社への契約切替(スイッチング)時の名義不一致分の契約状況の確認
  • 当社との契約開始時における住所特定や公衆街路灯の設置場所特定のために電柱番号が記載された地図情報確認
等のために使用しており、その際、新電力顧客情報を含む九州電力送配電が保有する託送関連情報を閲覧しておりました。

なお、現時点においては、新電力の顧客獲得活動への使用は確認できませんでした。

詳細については引き続き調査をおこなってまいります。

当社といたしましては、今回の事案を重く受け止めており、深くお詫び申し上げます。今後、報告徴収に適切に対応してまいります。


【セキュリティ事件簿#2023-017】東北電力株式会社 新電力等のお客さま情報の取り扱いに係る報告徴収の受領について 2023年1月13日


当社は、東北電力ネットワーク株式会社(以下、「東北電力ネットワーク」)が管理する当社以外の小売電気事業者(以下、「新電力等」)のお客さま情報を閲覧していたことが判明し、本日、電力・ガス取引監視等委員会(以下、「監視等委員会」)および個人情報保護委員会から報告徴収を受領いたしました。

本事案は、昨年、東北電力ネットワーク以外の一般送配電事業者が管理する託送システムにおいて、新電力等のお客さま情報が特定関係事業者※から閲覧可能な状態に置かれており、特定関係事業者の社員等が閲覧を行っていた事案が発生したことを受け、2022年12月27日付の監視等委員会からの依頼に基づき調査を進める中で判明したものです。

※一般送配電事業者と同一グループ内の小売電気事業者等

 これまでの調査において、当社の3営業所(青森県、岩手県、宮城県内の各1カ所)において、
  • 当社の従業員も立入可能なスペース(東北電力株式会社・東北電力ネットワークの共有スペース)に、東北電力ネットワーク用の端末が配置されていたこと
  • 営業所に端末を新規配備する際に、東北電力ネットワークが管理する情報を閲覧可能な端末が誤って配備されたこと
から新電力等のお客さま情報が閲覧可能な状態となっており、そのうち2営業所において、当社の従業員が同端末を使用して新電力等のお客さま情報を閲覧していたことを確認いたしました。

なお、当該営業所の関係者へ聞き取りしたところ、現時点ではお客さまからの契約申込ならびに契約切替(スイッチング)の申し出に対する契約状況の確認のみに用いたものでありますが、詳細は調査中です。

当社といたしましては、今回の事案を重く受け止めており、報告徴収に適切に対応してまいります。


【セキュリティ事件簿#2022】関西電力株式会社 新電力顧客情報の取扱いに係る報告徴収の受領について 2023年1月13日


当社は、2022年12月、関西電力送配電株式会社が管理していた当社以外の小売電気事業者のお客さまの情報(以下、新電力顧客情報)を閲覧し活用していたことが判明し、電力・ガス取引監視等委員会(以下、監視等委)から報告徴収を受領しました。 [2022年12月27日お知らせ済み]

当社は、当該報告徴収に指定された2022年9月12日から12月12日の3ヶ月間における新電力顧客情報を閲覧した記録の調査等を行い、本日、調査結果とともに当面の再発防止策等について監視等委に報告しました。

調査結果は別紙の通りですが、730名の当社社員および委託先社員が、14,657契約の新電力顧客情報を閲覧していたことを確認しました。主な閲覧目的は、お客さまからの申し出に対する契約状況の確認や問合せ対応でした。一部、当社からお客さまへの提案活動に利用するために閲覧していたことも確認しています。

本件の原因は、行為規制に関する理解やコンプライアンス意識の徹底が不十分であったことに加え、会社として不適切な業務運用を早期に把握し是正する仕組みが不十分であったことにあると考えています。

また、今回の調査の過程で、監視等委に報告するために委託先に抽出を依頼した統計データの中に、新電力顧客情報が入っていたことが判明し、監視等委に報告するとともに、すみやかにデータ抽出を取りやめる等の対策を実施しています。

行為規制上、新電力顧客情報を不適切に取り扱っていたことについて、改めて深くお詫び申し上げます。

現時点で把握している閲覧可能な新電力顧客情報については、本日までに情報遮断処理が完了しています。加えて、行為規制関係の研修の強化などの当面の再発防止策にすみやかに取り組みます。

今後、監視等委のご指導に真摯に対応するとともに、社外弁護士等で構成されたコンプライアンス委員会による客観的かつ徹底的な調査・原因究明を実施し、二度とこのような事態が起こらないよう再発防止策を徹底してまいります。

また、コンプライアンスを最優先にする企業風土の醸成を目指し、引き続き、全力を尽くしてまいります。


【セキュリティ事件簿#2023-005】佐川急便株式会社 お客さまの個人情報の不正利用に関するお詫びとご報告 2023年1月5日


各種報道にございましたように、当社従業員が、お客さまからお預かりしました個人情報を用いて、複数のお客さまに対して架電していた事実が判明いたしました。お客さまならびに関係者の皆さまに多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

なお、当該従業員から第三者への情報流出の事実は現時点におきましては確認されておりません。また、本件に関しまして個人情報保護委員会にご報告済みでございます。

本来、運送業務に必要な範囲においてのみ取り扱うべきお客さまの大切な個人情報を私的な理由で利用することはあってはならない行為であり、当社では、この度の事態を厳粛に受け止めております。今後、より一層の個人情報の管理強化・徹底に努め、また、研修・教育を徹底することにより、再発防止を図って参ります。また、当該従業員に対しては、社内規程に則り、厳正に対応して参ります。

【個人情報の内容】
お客さまのご住所、お名前、お電話番号

岩国市の中学校の職員室で録音機能が稼働中のタブレットに気づかず教員が生徒の悪口を言う⇒録音データが生徒間で共有される⇒悪口を言われた生徒が登校できなくなる⇒発言した悪口が漏洩した教諭も出勤できなくなる


山口県岩国市の公立中学校で、生徒の学習用タブレットに職員室での会話が録音され、生徒の個人情報などが入った音声データが複数の生徒に漏れたことが2022年11月17日分かりました。生徒の1人はショックを受け、登校できなくなっているということです。

関係者によりますと10月末ごろ、岩国市の公立中学校で、生徒が教室に忘れたタブレットを教諭が職員室の机の上で保管しました。そのタブレットは録音機能が作動していて、教諭どうしによる生徒への生活指導の情報や、生徒への個人的な感情などを含む会話が録音されていました。翌日タブレットを返却された生徒が録音に気づき、複数の生徒に録音データを送信。名前の出た生徒の1人はショックを受け、今月上旬から登校できなくなっているということです。また、会話を録音された教諭1人も出勤できなくなったということです。
学校は生徒の自宅を回って謝罪するとともに、録音データを消去し、これまでに外部への情報流出は確認されていないということです。

東京電力 組織的対策の不備により、原発の核セキュリティ情報を社員が無許可で持ち出せてしまう


新潟県にある東京電力柏崎刈羽原子力発電所で、東京本社の社員が核セキュリティに関する情報を無断で印刷し、テレワークのため、自宅に持ち帰っていたことが分かり、会社側は責任者の許可がなければ情報を印刷できないようシステムを改めたとしています。

東京電力によりますと、東京本社の社員が先月29日、出張先の柏崎刈羽原発で核セキュリティに関する情報を無断で印刷し、テレワークのため、自宅に持ち帰りました。

責任者にあたる上司の許可があれば印刷や持ち出しが認められている情報ですが、社員は許可を取っておらず、今月3日までの5日間、自宅で保管していたということです。

印刷した情報はすべて回収し、情報の紛失や外部への漏えいはないということです。

東京電力は再発を防ぐため、責任者の許可がなければ情報を印刷できないようシステムを改めたとしています。

柏崎刈羽原発の稲垣武之所長は、記者会見で「業務上、核セキュリティに関する情報に触れる社員が増えているので、情報の扱いについて教育を徹底していく」と述べました。

イオンのDX戦略資料が流出 - コンサル会社が他社との会議資料に提供


イオンの事業戦略に関する機密情報が、契約するコンサルティング会社よりライバル他社に流出していたことがわかった。

イオンによれば、コンサルティング契約を結んでいたデロイトトーマツコンサルティングより、機密保持契約に反して、同業他社のセブン&アイ・ホールディングスに機密情報が会議資料として提供されていたことが判明したもの。

提供されたのはコンサルティング契約のもと作成された内部資料の一部で、同社の社名やロゴなども含まれていた。さらに一部は週刊ダイヤモンド2022年2月12日号の特集「セブンDX敗戦」に掲載された。

デロイトトーマツコンサルティング(DTC)は、社内調査の結果として同社より情報が漏洩し、週刊誌に掲載されたことを認めて謝罪。守秘義務に対する基本的な認識が欠如しており、社内ルールを逸脱した行為があり、秘密保持条項に違反していたと理由を述べた。また今回明らかとなった問題以外にイオンの情報を漏洩したケースがないことを確認したとしている。

本誌の取材に対してDTCは、漏洩した時期や経緯について「詳細は差し控える」としてコメントを避けた。「真摯に反省し、全社一丸となって再発防止策に取り組み、コンプライアンスの強化を図る」と説明。処分についても詳細は避けたが、社内で検討し、厳正に対処するとしている。


出典:イオンのDX戦略資料が流出 - コンサル会社が他社との会議資料に提供

東京外郭環状道路(外環道)のトンネル工事が原因で東京都調布市の市道が陥没した事故を巡り、同市が地域住民との面談内容などを、個人情報を隠さずに事業者側に提供していたことが発覚


東京外郭環状道路(外環道)のトンネル工事が原因で東京都調布市の市道が陥没した事故を巡り、同市が地域住民との面談内容などを、個人情報を隠さずに事業者側に提供していたことが発覚し、長友貴樹市長が2022年5月21日、住民団体のメンバーらと面会して謝罪した。

長友市長は市内のホールで「外環被害住民連絡会・調布」のメンバーら約30人を前に「あってはならない事案を発生させた」と頭を下げた。

市は昨年11月、事故について市に情報公開請求した市民の個人情報を東日本高速道路などの事業者側に送っていたと発表し、関係職員を戒告の懲戒処分とした。

 しかし、これとは別に市は2020年10月~21年10月、住民団体と行った面談のメモや、住民団体から提出された固定資産税の減免を求める要請書など、計26件を、個人情報を隠さないなど不適切に提供していた。先月中旬に市個人情報保護審査会が出した意見書で明らかになった。

 市側は「市民の要望を事業者側に伝えるために提供した。許可を得ていなければ手落ちと言わざるを得ない」と説明した。

 住民側はメールで情報提供された可能性を指摘し、開示を求めてきたが、市はメールを削除しており、復元についても「緊急性もなく、情報公開の対象として取り扱ってもいない」と拒否した。

 住民団体共同代表の河村晴子さんは「他にも漏えいされた情報はあるはずで、復元されたメールを見なければ、誰がなぜ漏えいしたか分からない。市の言い分だと、都合の悪い情報を意図的に消すことが可能になる」と批判した。

出典:市道陥没の外環道トンネル工事、市が住民の個人情報漏えい…事業者に面談メモなど26件提供