ラベル インシデント:設定ミス の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:設定ミス の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2025-219】コスモ石油マーケティング株式会社 コミっと車検申込情報のアクセス権限での設定誤りについて 2025/6/16

 

この度、弊社サービス「コミっと車検」で利用しているクラウド環境に保存されているファイルの一部について、閲覧制限の設定の誤りがあり、外部からのアクセスが可能な状態にあることが判明いたしました。

サービスをご利用頂いているお客様および関係者の皆様にはご心配をお掛けして申し訳ございません。

なお、2023年1月27日以降のアクセス履歴においては外部からのアクセスは確認されておりません。

また、現在は設定を変更し、外部からのアクセスはできない状態となっており、現時点で二次被害の報告は受けておりません。

1.経緯

2025年5月30日、クラウド環境の設定確認を行っている中で、閲覧制限の設定の誤りにより、一部ファイルが外部からのアクセスが可能な状態になっていることが判明いたしました。

現在は設定を変更し、外部からのアクセスができない状態となっています。

2.外部からのアクセスが可能となっていた情報について

対象期間

2019年8月1日~2025年5月30日までの間(※1)

対象となるお客様

対象期間にコミっと車検を申し込んだお客様

対象となるお客様情報(※2)

お客様識別番号:約16万5千件

お客様電話番号:約17万6千件

お客様氏名         :約  3万5千件

車両情報(※3)  :約11万9千件

対象となるスタッフ情報

担当整備士氏名:約3千件


対象となるファイルに、クレジットカード情報は含まれておりません。

※1:このうち、2023年1月27日~2025年5月30日までの間のアクセス履歴においては、外部からのアクセスは確認されておりません。

上記より前の期間については、アクセス履歴を取得しておらず、外部からのアクセスの有無を確認できておりません。

なお、クラウドサーバーとフォルダにはサービス開始(2019年8月1日)当初からアクセス禁止制限が施されており、閲覧制限の設定の誤りがあった対象ファイルには、第三者による類推が困難な対象ファイルのURLの全文を入力しない限りはアクセスできない状態となっておりました。

※2:対象となるお客様によって、対象となるお客様情報のどの情報が含まれるかは異なります。

※3:車両の情報には、車種、車台番号、車両登録ナンバー、車検満了日および初度登録年月などが含まれます。

3.原因と再発防止策

本件につきましては、社内でのデータ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。

従業員への教育を徹底し、再発防止に取り組みます。また、継続的にクラウド環境のアクセス制限設定状況の調査を実施し、設定状況を管理する仕組みを構築いたします。

4.当社対応

・対象のお客様には、コスモ公式アプリを通じてお知らせしております。

・現在は設定を修正済みで、外部からのアクセスはできない状態です。

・対象のクラウド環境の全検査を実施し、外部からのアクセスが可能な状態のファイルが無いことを確認しています。

リリース文アーカイブ

【セキュリティ事件簿#2025-216】株式会社大創産業 「Google グループ」を通じた個人情報の漏えいの可能性に関するお詫び 2025/6/18

 

4 月 26 日、弊社の業務において利用しておりました「Google グループ」の閲覧権限に対する当社の設定不備により、お客様、お取引先様、中途採用応募者様、従業員等と弊社がやりとりしたメールの一部が外部から閲覧可能な状態であったことが外部からのご指摘により判明いたしました。

詳細な調査の結果、57 グループの「Google グループ」において、本来登録メンバー内のみで利用すべき閲覧制限が公開設定とされたままであることが確認されました。

これにより、以下の個人情報が流出した可能性があることがわかりました。EC サイトご利用者様に対しましては、漏えいした可能性がある情報は個別にメールにてご連絡しております。詳細はメールをご確認頂きたく存じます。

(1)流出した可能性のある個人情報の項目(下記のすべて、または一部)

① お客様(弊社 EC サイトのご利用者様):計 4,498 件

  • 氏名、住所、電話番号、メールアドレス等:4,008 件(うち口座情報含む49 件)
  • 住所のみ:355 件
  • メールアドレスのみ:135 件

② お取引先様:計 4,578 件

  • 会社名、担当者氏名、部署名、役職、電話番号、メールアドレス 等:4,578 件

③ 中途採用応募者様:計 698 件

  • 履歴書、職務経歴書等:615 件
  • 氏名、住所、電話番号、メールアドレス等:83 件

④ 従業員:計 533 件

  • 氏名、性別、生年月日、住所、電話番号、メールアドレス、所属、役職等:380 件
  • 健康保険証等:149 件
  • 要配慮個人情報等:4 件

(2)当該 Google グループがインターネット上に公開されていた期間

① 2019 年 12 月 9 日から 2025 年 4 月 26 日まで

(3)対応

2025 年 4 月 26 日、判明直後に当該「Google グループ」のアクセス権限を制限する措置(公開されていた 57 グループについて、非公開へ設定変更)を講じました。現在は、全グループにおいて「公開」を選択できないよう機能を制限した上で、社員個人のみでグループを新規作成できないよう機能を制限し、作成する際は申請承認手続きをとるフローを設定しております。

お客様の個人情報の有無について調査を行い、対象のお客様には個別にご連絡を差し上げております。現時点では、漏えいによる二次被害の発生は確認されておりません。

また、2025 年 5 月 1 日、個人情報保護法に基づき個人情報保護委員会へ今回の事案を報告いたしました。引き続き個人情報保護委員会からのご指導を賜りながら対応を進めてまいります。

このたびは、お客様に多大なるご心配とご迷惑をおかけしますことを深くお詫び申し上げます。弊社ではこうした事態を招かぬよう社員教育の徹底等により情報管理を徹底し、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-211】株式会社NYANGO お客様情報の誤表示に関するお詫びとご案内 2025/6/2

 

概要

2025年5月30日午前2時に実施したシステム改修の不具合により、特定の条件下で、お客様に他のお客様情報が表示される情報漏洩事案を発生させてしまいました。(外部からの攻撃や不正アクセスによるものではありません)

具体的には、ちいプラ標準パッケージを導入してくださっている各地域様の予約サイトで、新規会員登録完了時に、他予約サイト(下図の地域A)の同一顧客IDを持つお客様情報が閲覧可能になるというものでした。

不具合がある時期(日本時間の2025年5月30日午前2時~2025年6月2日午後1時)に新規会員登録されたお客様と他予約サイト(下図の地域A)の既存のお客様のそれぞれ109名様に影響がありました。関連するお客様には、2025年6月2日22時前後にご案内させて頂きました。(メール送信エラーになった件数は0件です)

<追記>2025年6月6日午前9:30現在(お客様へのご案内から72時間以上が経過)、本件に関するお客様からの問い合わせ・苦情・要望は0件となっています。各地域様の窓口も同様(0件)です。悪用された事例も確認されておりません。

<追記>2025年6月7日午前10:00現在、本件に関するお客様からの問い合わせ・苦情・要望等は0件です。各地域様の窓口も同様(0件)です。悪用された事例も確認されておりません。

※本事象とシステムの不具合は、すでに解消されており、同様の事象が発生しないための再発防止対策も実施済です。後述しています。

※専用サーバーを利用している「日本秘湯を守る会」様を除く全ての地域OTAサイトが対象となります

このたびは、お客様の個人情報が第三者に表示されるという重大な事案を発生させてしまい、誠に申し訳ございませんでした。

ご迷惑、ご心配をおかけしましたこと、心よりお詫び申し上げます。今回の事象を重く受け止め、再発防止に向けた管理体制の見直し・システムの強化および教育徹底など再発防止に努めてまいります。


誤って閲覧可能となった情報/漏洩情報

  • メールアドレス
  • お名前
  • お住まいの国
  • 住所
  • 電話番号
  • 生年月日
  • 利用履歴
  • クレジットカード情報の一部 ※悪用できる情報ではございません
    • カード番号の下4桁
    • カードブランド
    • 有効期限

※お客様の登録状況・利用状況により異なります。必ず登録されている情報は「メールアドレス」のみとなります。本登録が完了しているお客様の場合は「お名前」も含まれます。

※パスワードの漏洩はありません(マイページでは表示できません。データベースには不可逆暗号化して保持しておりシステム管理者であっても把握できません)

※クレジットカード情報が登録されていた場合、以下のように表示されます。カード番号全体、CVCはサーバーには保持しておりませんので漏洩は100%ございません。

対応状況

  • 発生日時:2025年5月30日午前2時頃
  • 解決日時:2025年6月2日13時頃
  • 現在は解決済み
  • 影響のあったお客様
    • 当該期間中に会員登録を完了したお客様:109名
    • ある地域サイトで上記の会員と同じIDを持つお客様:109名
日時内容日時備考
2025年5月30日 AM2:00頃問題発生システム改修による不具合の発生
2025年6月2日 AM10:00頃問題検知ある地域のお客様から事業者様に指摘があり検知
2025年6月2日 PM1:00頃原因調査・システム修正完了この調査過程で全地域のサイトに関連する問題であることを認識しました
~2025年6月2日 PM11:00頃・影響範囲の調査
・お客様へのご案内
・利用地域関係者へのご案内


お客様へのお願いとご対応

他のお客様情報が表示された新規ご登録のお客様

誤った情報を表示してしまい申し訳ありませんでした。重ねてお手数をおかけして恐れ入りますが、誤表示された情報は破棄していただけるようお願いいたします。

なお、表示されたメールアドレスを利用してログインを試みることは、不正アクセス防止法違反となりますので、お控えいただけるようお願い申し上げます。

他のお客様から情報閲覧が可能となったお客様

ご心配をおかけしてしまい誠に申し訳ありません。悪用されるリスクと対処方法について記載いたしました。

悪用されるリスクについての考察

以下を踏まえると閲覧可能となった情報が悪用されるリスクは大きくはないと考えられます。ただし、後述したような攻撃に利用される可能性がございます。

  • 情報が誤表示されたお客様は不特定多数ではなく1名となります。
  • パスワード・クレジットカード情報の漏洩はございません
  • (システム側の不具合であり)悪意のある攻撃により漏洩したものではございません
  • いったんログアウト状態になると閲覧はできません。← 全顧客の強制ログアウト対処済
  • 物販サイトや株式売買サイトではなく、予約サイトであるため予約時点で不正取引を検知して対応できます。この時点で金銭的リスクはありません。

発生しうる攻撃と対処方法について

考えられる攻撃としては、閲覧したメールアドレスに実在の予約サイトを騙って偽サイトに誘導して、そこで重要情報を入力させる「フィッシング詐欺」となります。

その手口は以下となります。

  • 予約サイトを騙ったメールを送信する
  • メールの件名には「重要」「緊急」「30%割引」などといった文言が含まれる
  • メール内リンクから偽サイトに誘導する
  • 偽サイトでパスワードやカード情報の入力を促す

対処としては、お知らせに記載したメールアドレス以外からのお知らせは無視していただけるようお願いいたします。

判断しかねる場合は、メール内のリンクはクリックせず、Web検索やブックマークからアクセスしていただけるようお願いいたします。

また、ご不安な場合は、お客様マイページ(メールに記載しております)にログインして、メールアドレスを変更していただければと思います。

再発防止に向けた取り組み

  • Defaultデータベースをダミーデータベースとします
  • 開発環境でマルチテナント動作をエミューレ―ションします
  • 顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します

Defaultデータベースをダミーデータベースとします。

Defaultデータベースを地域Aに割り当てていたため、意図せず「データベース接続先情報がリセット」された時に地域Aにアクセスしてしまっておりました。割り当てを変更して新たに用意したダミーのデータベース(顧客データ、予約データ等が空)を割り当てます。これによって本件の「データベース接続先情報がリセット」が万が一発生しても本事象は発生しなくなります。(2025年6月4日21時に実施済)

※リセット発生時は、エラーになり処理が中断するため問題を即時に検知できるという効果もあります。今回、問題の発見が遅くなった(2日弱)のは、一見、正常動作しているためでした。

開発環境でマルチテナント動作をエミューレ―ションする

今回の不具合は、マルチテナント化(※)対応を行う中で不用意に実施した改修により発生しました。開発環境では再現しないものだったため本番環境にリリースしていました。開発環境で再現しなかった理由は、シングルテナントで動作しているためです。マルチテナント状態をエミュレーションできるように開発環境を整えます。

(※)全地域を同一基盤上で実行することでシステムの実行効率を大幅に向上させることができます。


機密性高い情報のキー値の設計変更

顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します。これにより万が一、意図しない状態になってもエラーとなり他のお客様の情報が閲覧可能になることはありません。(対応期限:2025年6月20日)

最後に

このたびは、お客様の大切な個人情報が第三者に誤って表示されるという重大な事案を発生させてしまい、誠に申し訳ございませんでした。

お客様にご迷惑、ご心配をおかけしましたこと、心よりお詫び申し上げます。

今回の事象を重く受け止め、再発防止に向けた管理体制の見直し・システムの強化および教育徹底など再発防止に努めてまいります。

今後とも変わらぬご信頼をいただけるよう、一層の情報管理体制の強化に取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-141】日本放送協会 放送番組モニターへのメール誤送信について 2025/3/28

 

令和7年3月21日(金)、NHK考査室において、新年度から新たに放送番組モニターになる642 人に対し、モニターシステムを使う上で必要となる※個人情報が記載された PDF ファイルをメールで送信した際、このうち140人には正常に送信されたものの、502 人に対しては本人ではない別のモニター1人の個人情報が記載された PDF ファイルを誤って送信していたことが判明しました。

※個人情報(①氏名②メールアドレス③モニター番号④モニターが使用する専用システムのログイン ID、⑤初期パスワード)

メール送信にあたっては、モニターの情報を管理するシステムで、上記のPDFファイルを自動作成し、メール本文に自動添付する方法で行いましたが、当該システムの不具合により、PDF ファイルが本来送られるべきではない別のモニターの方に送信されていました。なお、モニター以外の方への誤送信はありませんでした。

同日、誤送信してしまった可能性のあるモニターのみなさまにお詫びするとともに、PDFE ファイルが添付されたメールの削除をお願いしました。 その後、実際に削除が行われたことの確認を進めていて、これまでに二次被害は確認されていません。

誤送信の原因が判明し、システムの不具合が改善するまでの間、当該システムから個人情報を記した PDF ファイルを添付したメールの送信を停止し、必要に応じて郵送など別の手段を使用します。

リリース文アーカイブ

【セキュリティ事件簿#2025-104】日本マクドナルド株式会社 お客様のメールアドレス漏えいに対するお詫びとご報告 2025/3/19

 

このたびマクドナルド公式アプリにご登録いただいたお客様のメールアドレスが、誤ってほかのお客様にも表示される事案が発生いたしました。以下に内容と原因、ならびに当社の対応をご報告申し上げます。当社では本件を厳粛に受け止め、再発防止に努めてまいります。お客様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

事案の概要

・発生日時: 2025年3月14日(金)12時から13時頃

・発生内容および原因:

3月12日(水)~3月13日(木)にかけマクドナルド公式アプリに新規にご登録いただいたお客様に対し、登録完了メールを送信する際、本来であればお一人おひとり個別にメールをお送りすべきところ、メール配信システムの設定ミスにより、「To」欄へお客様以外のメールアドレスも記載し配信してしまいました。その為、メールを受け取ったお客様がほかのメールアドレスを閲覧可能な状態になっておりました。誤記載されたメールアドレスは1通につき最大500件ずつとなり、影響を受けたメールアドレスの総計は8,989件となります。なお、メールアドレス以外の個人情報や機密情報の漏えいはございません。

・当該のメールを受け取られたお客様へのお願い:

大変お手数をおかけしますが、「マクドナルド会員 ご登録メールアドレス確認完了メール」というタイトルのメールを破棄いただけますようお願いします。

・当社の対応:

日本マクドナルド株式会社ではメールを受信されたお客様からの問い合わせで上記事案を把握し、3月17日(月)中に個人情報保護委員会へ報告しました。また対象のお客様お一人おひとりに対し、お詫びのご連絡とあわせ、当該のメールの破棄を依頼しております。また今後の再発防止のため、現在メール配信システムの見直し、ならびに配信時の確認作業の厳重化を行っております。

以上、お客様に多大なご迷惑をおかけしましたことを重ねてお詫び申し上げます。本件についてご不明点やご不安な点がおありの際は以下公式アプリ事務局までご連絡をお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-091】株式会社ポケモン 新規会員の個人情報漏洩、および、緊急サイトメンテナンスのお詫び 2025/3/4

 

平素よりポケモンセンターオンラインをご利用いただき、ありがとうございます。 

2月28日(金)に、ポケモンセンターオンラインにて障害が発生し、

リニューアル後に新規会員登録を申し込んだお客様のメールアドレスが、他の新規会員様の会員情報に登録されてしまう場合がある、という事象を確認いたしました。 

また、それに伴い、2025年2月28日(金)10時36分より、緊急サイトメンテナンスを実施させていただきました。

この度は、多大なるご迷惑とご心配をおかけしましたこと、深くお詫び申し上げます。 

当該事象については、既に解消されております。 

および、漏洩の可能性のあるお客様へは、ポケモンセンターオンラインサポートデスクより個別にお詫びのメールを差し上げております。 

【会員登録の障害について】

<発生期間> 

2025年2月28日(金)10時00分~10時36分 

※リニューアルオープンから、サイトの公開一時停止までの期間 

<対象> 

​326件 

<概要> 

複数のお客様が同時刻に新規会員登録を申し込んだ場合、ご本人のものではないメールアドレスで会員登録されてしまった場合がある 

<漏洩した可能性のある個人情報の種類> 

①メールアドレス

  事象の発生期間に新規会員登録申請をした一部のお客様 

②会員氏名 / お届け先氏名 / お届け先住所

  事象の発生期間に新規会員登録をした、および、ご注文をされた一部のお客様

リリース文アーカイブ

【セキュリティ事件簿#2025-058】京都お仕事マッチング診断「ジョブこねっと」、開発&テストの不備により登録企業であればインターンシップ応募者全員の個人情報を閲覧できる状態に 2025/2/5

 

京都府は5日、府就職・転職サイト「ジョブこねっと」上で、登録企業2250社がインターンシップ応募者122人全員の個人情報を閲覧できる状態になっていたと発表した。システム開発に不備があったためで、同日時点で被害の報告はないという。

同サイトはインターンの応募を受けた企業のみ個人情報を閲覧できるよう設定していたが、昨年5月の運用開始以来、特定の操作をすれば、全社が応募者の氏名や電話番号などを閲覧できる状態になっていた。1月29日に企業から指摘を受け発覚。運用を停止し、応募者らに謝罪したという。

出典:インターン応募者の個人情報が閲覧できる状態に 自治体の就職サイト、システム開発に不備アーカイブ

【セキュリティ事件簿#2025-050】琉球新報社 読者プレゼント申込者の個人情報流出の可能性について 2025/2/4

 

琉球新報社が2月1日(土)に発行した別刷特集「プロ野球沖縄キャンプ特集2025」の読者プレゼントのWeb応募において、3日午後1時40分ごろから2時40分の間の一時間に個人情報の流出の可能性があることが判明しました。

該当する申込者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

1.経緯

今回のWeb応募はGoogleフォームにて行うように設定しておりました。2025年2月3日(月)午後1時40分ごろ、本特集での担当者間で応募状況を共有しようと設定を変更したところ、同日午後2時40分ごろ、プレゼントの申し込みをされようとした方から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました。午後2時50分には閲覧できないように設定を変更しましたが、この間のおよそ1時間は、申し込み済みの842人の個人情報が閲覧できる状態にありました。なお、現時点では個人情報流出の被害は確認されておりません。

2.流出した可能性のある情報

応募フォームに申し込みをいただいた842人の氏名、住所、年齢、電話番号

3.今後の防止策

今後、このような事態を招くことがないよう、下記の通り取り組んでまいります。

① Googleフォーム等で個人情報を取り扱う際には複数名で動作確認を行い、登録テストを実施してから公開するように徹底する。

②情報を管理するのは最低限の人数に限定する。

リリース文アーカイブ

【セキュリティ事件簿#2025-031】消防試験研究センター 個人情報の漏えいに関するお詫び 2025/1/27

 

このたび、1月18日(土)及び19日(日)に当センター兵庫県支部が実施する消防設備士試験(姫路市会場)に際し、電子申請をされた受験者が当センターからの案内に従って受験票をダウンロードした際、第三者の受験票が手元にダウンロードされる事態が発生しました。

この事象により、96人の受験申請者様の個人情報が受験票の形態で第三者にダウンロードされたことが判明いたしました。

対象の方には個別にご連絡し、事実関係のご説明と謝罪をしますとともに、お詫び文書を送付させていただいております。

このような事態を発生させ、受験者の皆様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。

今後、今回の事態を踏まえて個人情報の保管及び管理に万全を期し、再発の防止に取り組んでまいります。

なお、令和7年2月25日に予定しております試験の合否発表につきましては、個人情報保護の観点から、ホームページへの掲載をとりやめさせていただきます。受験者の皆様におかれましては、従来から受験者全員に郵送しております試験結果通知書によりご確認いただきますようお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2025-025】京都先端科学大学 個人情報ファイルの取り扱い過誤に関するお知らせとお詫び 2025/1/24

 

このたび、本学教員が Microsoft Teams を利用して作成した本学学生の個人情報を含む電子ファイルが、本学の Microsoft アカウントを保有する者全員に閲覧できる状況となっていたことが発覚いたしました。

本事案に関係する皆様には、深くお詫び申し上げます。

本学では本事案を踏まえ、全教職員に対し、改めて個人情報や機密情報の取扱いについて注意喚起を行うとともに再発防止に努めてまいります。

1.事 案

科目担当教員間で使用している Microsoft Teams 内に保存されている学生の個人情報を含むファイルが、Microsoft One Drive にて本学学生が閲覧、ダウンロードできる状態であった。

2.漏洩した個人情報

期 間:2024 年 11 月 20 日 11:55 頃から 2025 年 1 月 14 日 13:25 頃

個人情報:学籍番号、氏名、2024 年度秋学期の英語Ⅰ、英語Ⅲ及び英語Ⅴの中間テストの成績に関する情報

漏洩範囲:本学学生3名が閲覧した(2025 年 1 月 10 日、14 日)

3.原 因

科目担当教員間で作業および情報共有を目的としたチームを新規作成した際に、プライバシーの設定において公開範囲をパブリックに設定していた。そのため、チーム内で共有されていたファイルが、本学の Microsoft アカウントを保有する者が One Drive で検索すれば閲覧できる状態となっていた。

4.本学の措置

本件発覚後、ただちに当該チーム関係者以外のアクセスを制限する設定に変更し、当該チーム内のファイルのアクセス履歴を確認した。その後、該当のファイルにアクセスをした学生に対し個別に面談を実施した結果、当該学生以外への拡散は無く、二次被害の影響はなかったことを確認した。

5.再発防止対策

本学における Microsoft Teams 内全てのチームについて、プライバシー設定(パブリック/プライベート)の再確認・再設定を実施した。また、チーム作成時の設定方法について周知徹底し、さらに、個人情報が含まれるファイルにはパスワードを設定することなど個人情報の取扱いについての周知徹底を行った。

リリース文アーカイブ

【セキュリティ事件簿#2025-019】山都町 個人情報の漏えいに関するお詫びとご報告 2025/1/20

 

この度、本町のホームページにおいて、個人情報の漏えいが発生いたしました。関係者の皆様をはじめ、町民の皆様に多大なご不安とご迷惑をお掛けしましたことを、心より深くお詫び申し上げます。

町職員に対しまして個人情報の重要性を改めて周知徹底し、運用ルールの厳守と再発防止に努めてまいります。

1 発生の経緯 

令和7年1月14日12時30分頃、山都町ホームページに会計年度任用職員(給食調理師)募集の記事を掲載した際、誤って過去の会計年度任用職員の氏名が含まれたデータを公開しました。その後、町職員からの指摘を受け、同日午後5時30分頃に当該データを削除いたしましたが、この間39件の閲覧がありました。現在、具体的な被害等の報告は受けておりません。

2 漏えいした情報

過去の山都町会計年度任用職員の氏名:85名分

3 発生原因

記事に添付した募集職種のデータについて、個人情報の有無の確認を怠ったこと、また、ホームページ掲載前に記事のチェックを行うべきところを履行していなかったことによるものです。

4 対応 

対象者85名に対し、対面または電話により謝罪および報告を行いました。

5 再発防止策

職員に対し、個人情報の重要性とその厳格な管理を改めて周知し、運用ルールの徹底を図ります。

この度の事態を重く受け止め、再発防止に全力を尽くしてまいります。今後ともご理解とご協力を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-017】東北芸術工科大学 Microsoft Teamsの設定ミスによる個人情報等の不適切な取扱いについて 2025/1/20

 

この度、学内で利用するクラウドサービス「Microsoft Teams」(以下、「Teams」という。)の設定ミスにより、チーム(※1)内関係者のみで共有すべき情報が、チーム外の本学構成員(本学からアカウントを付与されている学生及び教職員)にも閲覧可能な状態にあったことが判明いたしました。関係者の皆様には、多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。

今後、このようなことのないよう、教職員、学生に対し、改めて情報リテラシー教育を実施するとともに、個人情報等の取扱いについて管理を徹底してまいります。

なお、現時点では本事案に伴う、学生および教職員からの被害等の報告は受けておりません。

※1: Microsoft Teams の「チーム」とは、特定のプロジェクトやグループのために設けるオンラインの作業スペースであり、メンバー間のチャットやファイル共有、会議などを通じて共同作業を行うもの

1.経緯

2024年12月19日、Teams内の検索機能を用いた際に、教職員の利用するチームに保存されていた学籍異動関係のデータ(要配慮個人情報を含む資料)が、チーム外の本学構成員にも閲覧できる状態になっていたことが判明いたしました。

2.原因

Teams におけるプライバシー設定についての知識が不十分であったことによるものです。一部のチームにおいて、プライバシー設定を「プライベート」と設定すべきところを「パブリック」として設定していました。

3.本事案の対応

2024年12月19日、判明後速やかにプライバシー設定を「プライベート」に変更すると共に、学内全てのチームの設定内容を調査し、「パブリック」設定となっていた全てのチームを、管理者側で「プライベート」に変更しています。

以降、全ての個人情報はチーム外からの閲覧はできない状態となっています。また、本件事案に対して、速やかに国の個人情報保護委員会へ報告を行いました。

4.閲覧可能な状態であったファイル

➀要配慮個人情報

:6 件(25 人)

閲覧可能な状態であった期間

:2024 年 9 月 21 日~2024 年 12 月 19 日

➁個人情報(氏名、メールアドレス等が含まれるファイルで➀の個人情報を含まず)

:894 件(785 人(内 学生 673 人、教職員 20 人、学外者 92 人)

閲覧可能な状態であった期間

:ファイルによって異なるが、最も古いものは 2020 年 4 月 9 日~2024 年 12 月 23 日

5.再発防止対策

・新規にチーム作成を行う場合は、「パブリック」を選択できないよう設定を変更する。

・情報管理ポリシーの見直しを行う。

・学内における情報リテラシー教育を徹底する。

・併せて、システム管理者が「Teams」の運用状況を、定期的に確認する。

リリース文アーカイブ

【セキュリティ事件簿#2024-586】阿久比町 個人情報漏えいについて 2024/12/28

 

本町におきまして、個人情報の漏えいに関する事案が発生いたしました。

関係者の皆さんをはじめ、町民の皆さんに多大なるご不安やご迷惑をお掛けすることとなり、深くお詫び申し上げます。

職員に対し個人情報の重要性と厳格な管理を改めて周知し、運用ルールを徹底させ再発防止に努めてまいります。

<経緯>

令和6年12月27日(金曜日)正午頃に、町ホームページに掲載した「あぐい結びの市 よりみち-yorimichi-春 出店募集」記事における、出店者募集応募フォームのリンク先を誤って設定していたことを同日午後5時頃、担当職員が再度記事を確認した際に把握。調査したところ内容に9月のよりみちへ応募の際に入力いただきました関係者の皆さんの個人情報が閲覧できる状態であることを確認しました。当該記事については、直ちに削除し、閲覧できない状況にしました。

掲載期間における閲覧件数は23件。現在、具体的な被害等の連絡はありません。

<発生原因>

ホームページ掲載の際は、担当者・検証者による2名での手続きを経て掲載を行っておりますが、担当者・検証者ともに掲載内容の確認を十分に行わなかったことが原因です。

<対象者>

対象者42人(9月のよりみちへ応募の関係者(出店希望者))

<対 応>

対象者42人に、12月28日(土曜日)お詫びとご報告をメールにて送付

<再発防止策>

職員に対し個人情報の重要性と厳格な管理を改めて周知し、運用ルールを徹底させ再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-574】株式会社モリサワ  「Morisawa Fonts有償プランご契約者様向け書体見本帳プレゼント」フォームの脆弱性判明による送付受付中止のお詫び 2024/12/25

 

2024年12月16日より受付を実施しておりました、Morisawa Fontsをご利用中の方を対象とした「Morisawa Fonts書体見本帳2024–2025」の無料送付について、お手続きいただくフォームのセキュリティ対策が不十分であることが確認されました。このことから、12月19日より受付を一時停止しておりましたが、同方法による受付および発送はこの度中止とさせていただくこととなりました。

お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。

経緯

2024年12月16日11時に、Morisawa Fontsサービスサイトにて「Morisawa Fonts書体見本帳2024–2025」の送付ご希望の受付のお知らせ、ならびに専用の受付フォームを公開しました。受付フォームは、送付対象となるMorisawa Fontsご契約者の氏名、メールアドレスを入力することで、弊社のデータベースに登録されているユーザー情報を参照し、送付先の住所と電話番号を確認する仕様でした。

しかし、受付フォームのセキュリティ対策に関する外部からの指摘を受けたため、弊社内で調査を開始し、12月19日12時に受付フォームを停止しました。氏名、メールアドレスだけによる認証を前提とする受付フォームは、第三者のなりすましによる個人情報の取得や登録住所の改ざんが起こり得る脆弱性を否定できないとし、同方法による受付中止を決定しました。

被害の可能性について

12月25日現在、個人情報の不正な取得および改ざんが行われた事実は確認されておりません。

本事案の対象となった個人情報

〈個人情報の項目〉

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号 

※ご登録のクレジットカード情報と、Morisawa IDのログインパスワードは対象ではございません。  

〈対象件数〉

4,945件 

※受付フォームでMorisawa IDの認証を通過し、画面に情報が表示された件数です。必ずしも第三者の不正な入力により表示され、情報が漏洩した件数を表すものではございません。

〈対象期間〉

2024年12月16日11:00~2024年12月19日12:00

対応について

12月23日に個人情報保護委員会へ報告を行いました。

本事案の対象であることが確認できたお客様には、弊社のサービスにご登録いただいたメールアドレス宛に電子メールにて、順次個別にご連絡を差し上げます。

なお、Morisawa Fonts有償プランご契約者様向け書体見本帳プレゼントにつきましては、セキュリティ対策を講じたのち、あらためてご案内予定です。

この度はご迷惑をおかけし誠に申し訳ございませんが、ご理解賜りますようお願い申し上げます。

本事案が発生した原因と再発防止に向けて

受付フォーム作成段階における仕様の確認、およびその運用テストが不十分であったことが原因です。

今後セキュリティ対策を十分に講じ、適切な対応を行う体制を強化することにより、同様の事態の再発防止に全力を尽くしてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-571】444株式会社 不正アクセスによる個人情報流出に関するお詫びとお知らせ 2024/12/25

 

この度、弊社が運営する「TechFUL」において、サーバーへの不正アクセスにより、個人情報と重要情報の流出が疑われる事象が判明いたしました。

攻撃を受けたサーバーには、学生、学校、企業を含むTechFULユーザーの個人情報や重要情報が含まれていることが判明しております。

ユーザーおよび関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

今後、このような事態が再発しないよう、セキュリティ対策を一層強化してまいります。

経緯

  • 2024年12月11日
    • クラウド管理会社よりネットワーク不正活動のアラートメールを受信し、TechFULシステムの調査を開始
  • 2024年12月12日
    • 開発用サーバーへの不正侵入を確認し隔離作業を完了。侵入原因の調査を開始
  • 2024年12月13日
    • 開発用サーバー内のデータベースが破壊されていることを確認。また、機密データを公開しないことを条件に身代金を要求する文面を発見
    • 影響と被害内容の調査を開始
  • 2024年12月18日
    • 個人情報保護委員会と日本情報経済社会推進協会に速報を提出

外部流出した個人情報 / 重要情報

  • 項目
    • ユーザー情報
      • ログインID
      • ハッシュ化済みパスワード
      • 氏名
      • ユーザー表示名
      • 誕生日・所属・学籍番号・現住所・休暇中住所
      • キャリア希望、キャリア情報 (学歴、職歴)
      • スキル情報、自己PR
      • ログイン履歴
      • セッション参加履歴、問題解答履歴
      • 求人応募情報
      • チャット履歴 
      • フォームからのお問い合わせ内容 (問い合わせ元メールアドレスを含む)
    • 学校情報
      • 学校名、学部学科名
      • 作成した問題コンテンツ
    • 企業情報
      • 企業名、HP など会社基本情報
      • 窓口担当者の連絡先メールアドレス
      • 出稿した求人情報
  • 流出対象となるユーザー
    • 2023年8月13日以前に ユーザー登録を行ったTechFULユーザー(データベース件数:45,576アカウント)
    • 2023年8月13日以前に TechFULと契約した学校(データベース件数:475アカウント)
    • 2023年8月13日以前に TechFULと契約した企業(データベース件数:264アカウント)

※ 流出したデータは、2023年8月13日までにTechFULに入力された情報です。それ以降の情報は流出しておりません。

原因

  • 本番データベースのデータを開発用途に利用しており、開発用サーバーのアクセス制御設定に不備があったため、外部から開発用サーバーに対し攻撃者による不正侵入を受けました

現状の対応

  • 不正侵入されたサーバーの隔離が完了しており、他サーバーや他システムへの被害拡大はありません
  • TechFULシステム内の他サーバーを調査し、不正侵入やデータ流出などの不審な形跡がないことを確認しました
  • 同様の不正侵入事故が発生しないよう、ネットワークやサーバーのアクセス設定を再確認しています

パスワード変更のお願い

今回のデータ外部流出により、お客様のパスワードを暗号化した情報(ハッシュ)が流出しています。

パスワードそのものが流出したわけではありませんが、悪意のある第三者が解読を試みる可能性があるため、

対象となる全てのユーザーに対してパスワードの再設定をお願いしております。

以下の手順に従って、速やかにパスワードの再設定をお願いいたします。

  1. TechFULにログイン
  2. 右上のアカウントボタンから「アカウント情報へ」をクリックし、アカウント情報ページを開く
  3. パスワード項目横 「変更はコチラ」リンクをクリックし、パスワードを変更するページを開く
  4. 「現在のパスワード」と「新しいパスワード」、「新しいパスワードの確認」を入力し、「更新する」ボタンをクリックする

対象となるユーザーは、2023年8月13日以前にユーザー登録を行い、2023年8月14日以降パスワードを変更していないユーザーとなります。

対象以外のユーザーはパスワードを変更する必要はありません。

今後の対応

弊社では、今回の事態を受け、以下の再発防止策を講じます。

  • 不備のあるアクセス設定が実施されないよう、インフラ運用体制を見直します
    • インフラ設定のレビュー体制の強化
    • インフラ・セキュリティ監視体制の強化
  • 開発用に使用するデータは、全て実データではなくダミーデータに差し替えます

相談窓口について

流出対象となるユーザー様につきましては、2024年12月25日16時に今回のデータ流出による影響を個別にメールにてお知らせしています。

弊社コーポレートサイト上に「お知らせ・お詫び文(https://techful.jp/info/4237)」を掲示いたしました。

本日より、ユーザー様相談窓口を設置し、WEBフォームでのお問い合わせ受付を開始しております。

リリース文アーカイブ

【セキュリティ事件簿#2024-567】株式会社Schoo 個人情報漏えいのお知らせとお詫び  2024/12/24

 

このたび、弊社サービス「Schoo for Business(以下「本サービス」)におきまして、弊社のお客様の個人データが、特定条件下におけるお客様間で閲覧可能な状態にあり、これにより個人データ(主に所属会社名・氏名)が漏えいしていたことが判明いたしました。お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。

本事案に係る現時点の調査結果について、以下のとおりご報告申し上げます。

なお、現時点では、本件にかかる業績予想の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

1. 本件の概要

本サービスにて集合学習機能*1をご利用いただく際、2020年3月30日~2024年12月23日の間において、下記いずれかの条件下で、お客様間で個人データが閲覧可能な状態であることが判明いたしました。

● 条件1

本契約前に弊社がご用意した試用アカウント*2を利用して本サービスの集合学習機能をご利用いただいた場合

● 条件2

弊社が提携する一部の販売代理店を経由してご契約いただき、本サービスの集合学習機能をご利用いただいた場合

*1 利用者同士がSchooの授業やオリジナル動画を同時に視聴しながら、コミュニケーションを取ったり学びをアウトプットできる機能

*2 ご契約前にトライアルとしてとしてSchooの各機能をお試しいただくためのアカウント

2.漏えいした個人データ項目と個人データを閲覧できた範囲

● 集合学習機能にて学習部屋*3を作成したお客様

○ 漏えいした個人データ項目

■ 所属会社名、ユーザー名(氏名)、プロフィール画像

○ 個人データを閲覧できた範囲

■ 期間内に試用アカウントにて本サービスを利用したお客様間、もしくは期間内に該当の同一販売代理店にて契約し本サービスを利用されたお客様間

● 集合学習機能にて学習部屋に参加したお客様

○ 漏えいした個人データ項目

■ ユーザー名(氏名)、プロフィール画像

○ 個人データを閲覧できた範囲

■ 期間内に同一の学習部屋に参加したお客様間

*3 集合学習機能を使ってSchooの授業やオリジナル動画を同時に視聴しながら利用者同士でコミュニケーションを取るための部屋。利用者が任意の授業や動画を指定して作成できる

3.対象データに係る本人の数

本事案により漏えいが確認された個人データの総数は980件であり、内訳は以下となります。

● 条件1

試用アカウントで集合学習機能の学習部屋を作成したお客様の個人データに係る人数:190人

試用アカウントで集合学習機能の学習部屋に参加したお客様の個人データに係る人数:690人

● 条件2

販売代理店経由の契約で集合学習機能の学習部屋を作成したお客様の個人データに係る人数:6人

販売代理店経由の契約で集合学習機能の学習部屋に参加したお客様の個人データに係る人数:94人

4.原因

試用アカウントの運用不備により、同一の管理アカウント配下で複数社のお客様の試用アカウントを発行・管理している状況が判明いたしました。

また、一部の販売代理店に対する弊社の運用指示に不備があり、同一の管理アカウント配下で複数社のお客様のIDを発行・管理している状況も判明いたしました。

5.経緯

2024年12月19日、試用アカウントをご利用中のお客様より報告を受け問題が判明。

同日、試用アカウントで作成された集合学習機能の学習部屋を全て削除し、試用アカウントによる集合学習機能の利用を停止。

2024年12月23日、該当する販売代理店経由で契約されたアカウントで作成された集合学習機能の学習部屋を全て削除し、同アカウントによる集合学習機能の利用を停止。

6.二次被害又はそのおそれの有無及びその内容

現時点において二次被害が生じた事実は確認されておりません。

7.再発防止策

このたびの事態を厳粛に受け止め、試用アカウントの運用を見直すと同時に、従業員への教育を徹底いたします。また、併せて販売代理店への指示内容の再確認を行い、必要な是正を実施してまいります。

【セキュリティ事件簿#2024-538】大阪公立大学医学部附属病院 個人情報の漏洩のお詫びとお知らせ 2024/12/3

 

当院において、患者さまの個人情報が漏洩する事案が発生しました。

現時点で本事案による被害等は確認されていませんが、当該患者さまに対し、ご心配、ご迷惑をおかけしたことを改めてお詫びするとともに、改めて個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。

1 概要

当院と当院の医療連携登録医(以下、登録医)との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク(以下、同ネットワーク)にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった。

2 経緯および対応等

⚫ 2024 年 11 月 28 日(木)17:30 ごろ

当院職員が本事案を発見し、直ちにシステム委託業者へ状況の確認・調査を依頼する。

⚫ 2024 年 11 月 29 日(金)9:00

患者一覧の非表示設定を行い、本事象を改善する。原因の調査を引き続きシステム委託業者へ依頼する。

3 原因

 地域医療患者一覧表示マスターの誤設定

4 該当患者数、個人情報および閲覧可能者の範囲

⚫ 該当患者

618 名分(同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま)

⚫ 閲覧可能な状態にあった情報

「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」

⚫ 閲覧可能者の範囲

閲覧可能な医師: 125 施設 154 名

5 再発防止策

⚫ システム設定変更の際には必ずマスター登録シートに基づき、チーム内でリスクや影響を確認して作業に着手することの徹底

⚫ 設定変更後は権限設定状況に応じた動作確認および作業完了承認の徹底

⚫ 個人情報保護研修、情報セキュリティ研修において適切な個人情報の取扱に関する認識の徹底

【セキュリティ事件簿#2024-535】RIZAP株式会社 情報漏えいの可能性に関するお詫びとお知らせ 2024/11/29

 

10月31日に公表させていただきました「情報漏えいの可能性に関するお知らせ」の件、その後の調査により本日時点までに判明している事項につき、お知らせいたします。

本件はデータ取扱いのルール説明および運用の徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、当該クラウドサービスの利用ルールを明確化し、外部からの不要なアクセスが発生しない環境を整備しました。現在、当社で利用しているその他のクラウド環境についても、設定調査および継続的に設定状況を監視する仕組みの導入を計画しており、近日中の稼働を予定しております。また、データ取扱いのルール説明・徹底について、再度社内への周知を実施し、従業員への教育を徹底することで再発防止に取り組んでおります。

この度は、お客様ならびに関係者の皆様には大変なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。

本件判明後現時点まで、不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。また、詳細な調査を行った結果、本事案の対象データには要配慮個人情報やクレジットカード情報等は含まれていない事が確認できております。

今回の事項は以下の通りです。

1. 概要

当社が利用するクラウドサービス上で作成したお客様情報を含む一部のファイルが、アクセス権限の設定誤りにより、アクセス権限を持たない第三者が閲覧可能な状態にあったことが、2024 年 10 月 16 日に従業員により判明しました。

2.情報漏えいしたおそれのある項目と件数

<項目>

メールアドレス、氏名、生年月日、性別、住所、電話番号、会員番号など

※漏えいしたおそれのあるデータには、上記すべての項目ではなく、その一部が含まれている状態です。

<件数及び項目>

計365,461名

・内、メールアドレス、管理番号         : 162,768名

・内、管理番号のみ               : 82,867名

・内、メールアドレス、管理番号、性別、契約プラン: 60,654名

・その他                    : 59,172名

※要配慮個人情報やクレジットカード情報等は含まれていないことが確認できております。

※本件判明後現時点まで、これらの情報の不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。

<アクセス権限を持たない第三者がアクセスできる状態にあった期間>     

2022年1月24日~2024年10月25日 

※対象のデータによって閲覧可能期間は異なります。

※上記のお客様情報は、会員データベースから一時的に抽出したファイルデータであり、上記期間に継続して保管・蓄積していたものではありません。

3.今後の対応について

上記のお客様情報が漏えいしたおそれのある方で、ご連絡先が把握できた皆様には 、本日より順次、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のお問合せ窓口を設置いたします。

このたびは、お客様ならびに関係者の皆様に大変なご迷惑とご心配をおかけしましたことを、改めて心よりお詫び申し上げます。皆様に安心してご利用いただけるサービス運営を目指し、全社を挙げて取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-531】近畿大学 個人情報の流出について 2024/12/3

 

このたび、Googleフォームの設定ミスによる個人情報の流出が発生しました。

該当する学生、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

1.経緯

令和6年(2024年)11月15日(金)18時50分頃、入試運営業務に従事する学生158人に、アルバイトに関する情報登録フォームのURLを送付し、入力を依頼したところ、同日19時30分頃、学生から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました。20時00分頃、閲覧できないように設定を変更しましたが、この間、すでに登録済みの14人について個人情報が閲覧できる状態にありました。情報を見ることができたのは登録済みの14人のみであり、本日までに本件による被害の報告はありません。

2.流出した情報

対象者:フォームに情報を登録したアルバイト学生14人

内 容:氏名、学部・学科、学年、学籍番号、住所、電話番号、メールアドレス、口座情報、生年月日

3.対応

該当する学生には、11月17日(日)までに状況報告し、お詫びしました。また、不審な電話やメールなどがあった場合は、速やかに大学に連絡するよう伝えました。

4.今後の防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

①Googleフォームを使用する場合は複数名で動作確認を行い、登録テストを実施してから公開するように徹底する。

②教職員の情報セキュリティ研修の受講を徹底する。

リリース文アーカイブ

【セキュリティ事件簿#2024-526】大和ハウス工業株式会社 お客様情報等の外部流出に関するお知らせ 2024/12/2

この度、弊社が施工する物件の仮設現場事務所内で使用していた「ネットワーク対応ハードディスク」(以下「NAS」といいます)の設定不備により、お客様情報等を含むプロジェクト情報の一部がインターネットからアクセスできる状態になっていたことが判明いたしました。本件により、お客様ならびに関係者の皆様に多大なご心配とご迷惑をおかけいたしましたこと、心よりお詫び申し上げます。

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じておりますが、NAS 内に保管していた一部の情報に外部によるアクセスが確認されました。なお、現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

1.アクセスできる状態になっていた情報

・弊社集合住宅事業部門の一部の工事現場に関する情報

(図面、工事概要書、工程表、施工計画書、竣工検査報告書、発注先リスト 等)

※情報の中に、以下の個人情報が含まれておりました。

・物件に関係する施主様の氏名、工事関係資料等︓36 件

・物件名称に含まれる施主様の氏名︓約 5500 件

・近隣住民説明会に参加いただいた方の氏名等︓約 50 件

・お取引先様のご担当者様の氏名、作業員に関する情報等︓約 8300 件

2.外部からのアクセスが確認された期間およびアクセス数

・期間︓2023 年 12 月 13 日~2024 年 10 月 16 日

・アクセス数︓20 件、のべ 48 ファイル

※対象となる NAS は 2021 年 9 月から施工現場の仮設事務所内で使用されていましたが、2023 年 12 月 12 日までは外部からのアクセスは確認されておりません。

※対象の施主様、取引先従業員様、弊社派遣社員については、ご報告ならびにお詫びしております。

3.発覚後の対応状況

・次の措置を速やかに講じるとともに、本件に関するお客様ならびに関係者に対し、事実関係のご報告ならびに謝罪を進めております。

① 外部からのアクセスが可能となっていた NAS のネットワークからの遮断

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じております。

② 外部からの NAS へのアクセス状況の確認

NAS 内に保管していた一部のプロジェクト情報に対して外部からのアクセスが確認されました。

③ 二次被害状況の確認

現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

④ 同様の情報機器の使用状況の確認、使用中止、回収

本件以外にも他の施工現場で同様の機器が 29 台使用されていましたが、いずれも外部からのアクセスを遮断する設定がなされていることを確認しています。

⑤ 本件に関する個人情報保護委員会への報告

4.再発防止措置

・施工現場の仮設事務所内における情報セキュリティ対策が不十分であったことを真摯に受け止め、情報セキュリティに関する社内ルールの見直し(遵守状況確認も含む)を行うとともに、従業員に対する教育を徹底し、再発防止に取り組んでまいります。

リリース文アーカイブ