【セキュリティ事件簿#2025-141】日本放送協会 放送番組モニターへのメール誤送信について 2025/3/28

 

令和7年3月21日(金)、NHK考査室において、新年度から新たに放送番組モニターになる642 人に対し、モニターシステムを使う上で必要となる※個人情報が記載された PDF ファイルをメールで送信した際、このうち140人には正常に送信されたものの、502 人に対しては本人ではない別のモニター1人の個人情報が記載された PDF ファイルを誤って送信していたことが判明しました。

※個人情報(①氏名②メールアドレス③モニター番号④モニターが使用する専用システムのログイン ID、⑤初期パスワード)

メール送信にあたっては、モニターの情報を管理するシステムで、上記のPDFファイルを自動作成し、メール本文に自動添付する方法で行いましたが、当該システムの不具合により、PDF ファイルが本来送られるべきではない別のモニターの方に送信されていました。なお、モニター以外の方への誤送信はありませんでした。

同日、誤送信してしまった可能性のあるモニターのみなさまにお詫びするとともに、PDFE ファイルが添付されたメールの削除をお願いしました。 その後、実際に削除が行われたことの確認を進めていて、これまでに二次被害は確認されていません。

誤送信の原因が判明し、システムの不具合が改善するまでの間、当該システムから個人情報を記した PDF ファイルを添付したメールの送信を停止し、必要に応じて郵送など別の手段を使用します。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-104】日本マクドナルド株式会社 お客様のメールアドレス漏えいに対するお詫びとご報告 2025/3/19

 

このたびマクドナルド公式アプリにご登録いただいたお客様のメールアドレスが、誤ってほかのお客様にも表示される事案が発生いたしました。以下に内容と原因、ならびに当社の対応をご報告申し上げます。当社では本件を厳粛に受け止め、再発防止に努めてまいります。お客様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

事案の概要

・発生日時： 2025年3月14日(金)12時から13時頃

・発生内容および原因：

3月12日(水)～3月13日(木)にかけマクドナルド公式アプリに新規にご登録いただいたお客様に対し、登録完了メールを送信する際、本来であればお一人おひとり個別にメールをお送りすべきところ、メール配信システムの設定ミスにより、「To」欄へお客様以外のメールアドレスも記載し配信してしまいました。その為、メールを受け取ったお客様がほかのメールアドレスを閲覧可能な状態になっておりました。誤記載されたメールアドレスは1通につき最大500件ずつとなり、影響を受けたメールアドレスの総計は8,989件となります。なお、メールアドレス以外の個人情報や機密情報の漏えいはございません。

・当該のメールを受け取られたお客様へのお願い：

大変お手数をおかけしますが、「マクドナルド会員 ご登録メールアドレス確認完了メール」というタイトルのメールを破棄いただけますようお願いします。

・当社の対応：

日本マクドナルド株式会社ではメールを受信されたお客様からの問い合わせで上記事案を把握し、3月17日(月)中に個人情報保護委員会へ報告しました。また対象のお客様お一人おひとりに対し、お詫びのご連絡とあわせ、当該のメールの破棄を依頼しております。また今後の再発防止のため、現在メール配信システムの見直し、ならびに配信時の確認作業の厳重化を行っております。

以上、お客様に多大なご迷惑をおかけしましたことを重ねてお詫び申し上げます。本件についてご不明点やご不安な点がおありの際は以下公式アプリ事務局までご連絡をお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-091】株式会社ポケモン 新規会員の個人情報漏洩、および、緊急サイトメンテナンスのお詫び 2025/3/4

 

平素よりポケモンセンターオンラインをご利用いただき、ありがとうございます。 

2月28日（金）に、ポケモンセンターオンラインにて障害が発生し、

リニューアル後に新規会員登録を申し込んだお客様のメールアドレスが、他の新規会員様の会員情報に登録されてしまう場合がある、という事象を確認いたしました。 

また、それに伴い、2025年2月28日（金）10時36分より、緊急サイトメンテナンスを実施させていただきました。

この度は、多大なるご迷惑とご心配をおかけしましたこと、深くお詫び申し上げます。 

当該事象については、既に解消されております。 

および、漏洩の可能性のあるお客様へは、ポケモンセンターオンラインサポートデスクより個別にお詫びのメールを差し上げております。 

【会員登録の障害について】

＜発生期間＞ 

2025年2月28日（金）10時00分～10時36分 

※リニューアルオープンから、サイトの公開一時停止までの期間 

＜対象＞ 

​326件 

＜概要＞ 

複数のお客様が同時刻に新規会員登録を申し込んだ場合、ご本人のものではないメールアドレスで会員登録されてしまった場合がある 

＜漏洩した可能性のある個人情報の種類＞ 

①メールアドレス

  事象の発生期間に新規会員登録申請をした一部のお客様 

②会員氏名 / お届け先氏名 / お届け先住所

  事象の発生期間に新規会員登録をした、および、ご注文をされた一部のお客様

リリース文（アーカイブ）

【セキュリティ事件簿#2025-058】京都お仕事マッチング診断「ジョブこねっと」、開発＆テストの不備により登録企業であればインターンシップ応募者全員の個人情報を閲覧できる状態に 2025/2/5

 

京都府は５日、府就職・転職サイト「ジョブこねっと」上で、登録企業２２５０社がインターンシップ応募者１２２人全員の個人情報を閲覧できる状態になっていたと発表した。システム開発に不備があったためで、同日時点で被害の報告はないという。

同サイトはインターンの応募を受けた企業のみ個人情報を閲覧できるよう設定していたが、昨年５月の運用開始以来、特定の操作をすれば、全社が応募者の氏名や電話番号などを閲覧できる状態になっていた。１月２９日に企業から指摘を受け発覚。運用を停止し、応募者らに謝罪したという。

出典：インターン応募者の個人情報が閲覧できる状態に　自治体の就職サイト、システム開発に不備（アーカイブ）

【セキュリティ事件簿#2025-050】琉球新報社 読者プレゼント申込者の個人情報流出の可能性について 2025/2/4

 

琉球新報社が2月1日(土)に発行した別刷特集｢プロ野球沖縄キャンプ特集2025｣の読者プレゼントのWeb応募において､3日午後1時40分ごろから2時40分の間の一時間に個人情報の流出の可能性があることが判明しました｡

該当する申込者のみなさまに､ご迷惑､ご心配をおかけしましたことを深くお詫び申し上げます｡このような事態を招いたことを重く受け止め､今後､個人情報の取り扱いには厳重に注意し､再発防止に努めてまいります｡

１．経緯

今回のWeb応募はGoogleフォームにて行うように設定しておりました｡2025年2月3日(月)午後1時40分ごろ､本特集での担当者間で応募状況を共有しようと設定を変更したところ､同日午後2時40分ごろ､プレゼントの申し込みをされようとした方から連絡があり､他の登録者の個人情報が閲覧できる状態であることが判明しました｡午後2時50分には閲覧できないように設定を変更しましたが､この間のおよそ1時間は､申し込み済みの842人の個人情報が閲覧できる状態にありました｡なお､現時点では個人情報流出の被害は確認されておりません｡

２．流出した可能性のある情報

応募フォームに申し込みをいただいた842人の氏名､住所､年齢､電話番号

３．今後の防止策

今後､このような事態を招くことがないよう､下記の通り取り組んでまいります｡

① Googleフォーム等で個人情報を取り扱う際には複数名で動作確認を行い､登録テストを実施してから公開するように徹底する｡

②情報を管理するのは最低限の人数に限定する｡

リリース文（アーカイブ）

【セキュリティ事件簿#2025-031】消防試験研究センター 個人情報の漏えいに関するお詫び 2025/1/27

 

このたび、1月18日（土）及び19日（日）に当センター兵庫県支部が実施する消防設備士試験（姫路市会場）に際し、電子申請をされた受験者が当センターからの案内に従って受験票をダウンロードした際、第三者の受験票が手元にダウンロードされる事態が発生しました。

この事象により、96人の受験申請者様の個人情報が受験票の形態で第三者にダウンロードされたことが判明いたしました。

対象の方には個別にご連絡し、事実関係のご説明と謝罪をしますとともに、お詫び文書を送付させていただいております。

このような事態を発生させ、受験者の皆様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。

今後、今回の事態を踏まえて個人情報の保管及び管理に万全を期し、再発の防止に取り組んでまいります。

なお、令和７年２月２５日に予定しております試験の合否発表につきましては、個人情報保護の観点から、ホームページへの掲載をとりやめさせていただきます。受験者の皆様におかれましては、従来から受験者全員に郵送しております試験結果通知書によりご確認いただきますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-025】京都先端科学大学 個人情報ファイルの取り扱い過誤に関するお知らせとお詫び 2025/1/24

 

このたび、本学教員が Microsoft Teams を利用して作成した本学学生の個人情報を含む電子ファイルが、本学の Microsoft アカウントを保有する者全員に閲覧できる状況となっていたことが発覚いたしました。

本事案に関係する皆様には、深くお詫び申し上げます。

本学では本事案を踏まえ、全教職員に対し、改めて個人情報や機密情報の取扱いについて注意喚起を行うとともに再発防止に努めてまいります。

１．事 案

科目担当教員間で使用している Microsoft Teams 内に保存されている学生の個人情報を含むファイルが、Microsoft One Drive にて本学学生が閲覧、ダウンロードできる状態であった。

２．漏洩した個人情報

期 間：2024 年 11 月 20 日 11:55 頃から 2025 年 1 月 14 日 13:25 頃

個人情報：学籍番号、氏名、2024 年度秋学期の英語Ⅰ、英語Ⅲ及び英語Ⅴの中間テストの成績に関する情報

漏洩範囲：本学学生３名が閲覧した（2025 年 1 月 10 日、14 日）

３．原 因

科目担当教員間で作業および情報共有を目的としたチームを新規作成した際に、プライバシーの設定において公開範囲をパブリックに設定していた。そのため、チーム内で共有されていたファイルが、本学の Microsoft アカウントを保有する者が One Drive で検索すれば閲覧できる状態となっていた。

４．本学の措置

本件発覚後、ただちに当該チーム関係者以外のアクセスを制限する設定に変更し、当該チーム内のファイルのアクセス履歴を確認した。その後、該当のファイルにアクセスをした学生に対し個別に面談を実施した結果、当該学生以外への拡散は無く、二次被害の影響はなかったことを確認した。

５．再発防止対策

本学における Microsoft Teams 内全てのチームについて、プライバシー設定（パブリック/プライベート）の再確認・再設定を実施した。また、チーム作成時の設定方法について周知徹底し、さらに、個人情報が含まれるファイルにはパスワードを設定することなど個人情報の取扱いについての周知徹底を行った。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-019】山都町 個人情報の漏えいに関するお詫びとご報告 2025/1/20

 

この度、本町のホームページにおいて、個人情報の漏えいが発生いたしました。関係者の皆様をはじめ、町民の皆様に多大なご不安とご迷惑をお掛けしましたことを、心より深くお詫び申し上げます。

町職員に対しまして個人情報の重要性を改めて周知徹底し、運用ルールの厳守と再発防止に努めてまいります。

1　発生の経緯　

令和7年1月14日12時30分頃、山都町ホームページに会計年度任用職員（給食調理師）募集の記事を掲載した際、誤って過去の会計年度任用職員の氏名が含まれたデータを公開しました。その後、町職員からの指摘を受け、同日午後5時30分頃に当該データを削除いたしましたが、この間39件の閲覧がありました。現在、具体的な被害等の報告は受けておりません。

2　漏えいした情報

過去の山都町会計年度任用職員の氏名：85名分

3　発生原因

記事に添付した募集職種のデータについて、個人情報の有無の確認を怠ったこと、また、ホームページ掲載前に記事のチェックを行うべきところを履行していなかったことによるものです。

4　対応　

対象者85名に対し、対面または電話により謝罪および報告を行いました。

5　再発防止策

職員に対し、個人情報の重要性とその厳格な管理を改めて周知し、運用ルールの徹底を図ります。

この度の事態を重く受け止め、再発防止に全力を尽くしてまいります。今後ともご理解とご協力を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-017】東北芸術工科大学 Microsoft Teamsの設定ミスによる個人情報等の不適切な取扱いについて 2025/1/20

 

この度、学内で利用するクラウドサービス「Microsoft Teams」（以下、「Teams」という。）の設定ミスにより、チーム（※1）内関係者のみで共有すべき情報が、チーム外の本学構成員（本学からアカウントを付与されている学生及び教職員）にも閲覧可能な状態にあったことが判明いたしました。関係者の皆様には、多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。

今後、このようなことのないよう、教職員、学生に対し、改めて情報リテラシー教育を実施するとともに、個人情報等の取扱いについて管理を徹底してまいります。

なお、現時点では本事案に伴う、学生および教職員からの被害等の報告は受けておりません。

※1： Microsoft Teams の「チーム」とは、特定のプロジェクトやグループのために設けるオンラインの作業スペースであり、メンバー間のチャットやファイル共有、会議などを通じて共同作業を行うもの

１．経緯

2024年12月19日、Teams内の検索機能を用いた際に、教職員の利用するチームに保存されていた学籍異動関係のデータ（要配慮個人情報を含む資料）が、チーム外の本学構成員にも閲覧できる状態になっていたことが判明いたしました。

２．原因

Teams におけるプライバシー設定についての知識が不十分であったことによるものです。一部のチームにおいて、プライバシー設定を「プライベート」と設定すべきところを「パブリック」として設定していました。

３．本事案の対応

2024年12月19日、判明後速やかにプライバシー設定を「プライベート」に変更すると共に、学内全てのチームの設定内容を調査し、「パブリック」設定となっていた全てのチームを、管理者側で「プライベート」に変更しています。

以降、全ての個人情報はチーム外からの閲覧はできない状態となっています。また、本件事案に対して、速やかに国の個人情報保護委員会へ報告を行いました。

４．閲覧可能な状態であったファイル

➀要配慮個人情報

：6 件（25 人）

閲覧可能な状態であった期間

：2024 年 9 月 21 日～2024 年 12 月 19 日

➁個人情報（氏名、メールアドレス等が含まれるファイルで➀の個人情報を含まず）

：894 件（785 人（内 学生 673 人、教職員 20 人、学外者 92 人）

閲覧可能な状態であった期間

：ファイルによって異なるが、最も古いものは 2020 年 4 月 9 日～2024 年 12 月 23 日

５．再発防止対策

・新規にチーム作成を行う場合は、「パブリック」を選択できないよう設定を変更する。

・情報管理ポリシーの見直しを行う。

・学内における情報リテラシー教育を徹底する。

・併せて、システム管理者が「Teams」の運用状況を、定期的に確認する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-586】阿久比町 個人情報漏えいについて 2024/12/28

 

本町におきまして、個人情報の漏えいに関する事案が発生いたしました。

関係者の皆さんをはじめ、町民の皆さんに多大なるご不安やご迷惑をお掛けすることとなり、深くお詫び申し上げます。

職員に対し個人情報の重要性と厳格な管理を改めて周知し、運用ルールを徹底させ再発防止に努めてまいります。

＜経緯＞

令和6年12月27日（金曜日）正午頃に、町ホームページに掲載した「あぐい結びの市　よりみち-yorimichi-春　出店募集」記事における、出店者募集応募フォームのリンク先を誤って設定していたことを同日午後5時頃、担当職員が再度記事を確認した際に把握。調査したところ内容に9月のよりみちへ応募の際に入力いただきました関係者の皆さんの個人情報が閲覧できる状態であることを確認しました。当該記事については、直ちに削除し、閲覧できない状況にしました。

掲載期間における閲覧件数は23件。現在、具体的な被害等の連絡はありません。

＜発生原因＞

ホームページ掲載の際は、担当者・検証者による2名での手続きを経て掲載を行っておりますが、担当者・検証者ともに掲載内容の確認を十分に行わなかったことが原因です。

＜対象者＞

対象者42人（9月のよりみちへ応募の関係者（出店希望者））

＜対　応＞

対象者42人に、12月28日（土曜日）お詫びとご報告をメールにて送付

＜再発防止策＞

職員に対し個人情報の重要性と厳格な管理を改めて周知し、運用ルールを徹底させ再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-574】株式会社モリサワ 「Morisawa Fonts有償プランご契約者様向け書体見本帳プレゼント」フォームの脆弱性判明による送付受付中止のお詫び 2024/12/25

 

2024年12月16日より受付を実施しておりました、Morisawa Fontsをご利用中の方を対象とした「Morisawa Fonts書体見本帳2024–2025」の無料送付について、お手続きいただくフォームのセキュリティ対策が不十分であることが確認されました。このことから、12月19日より受付を一時停止しておりましたが、同方法による受付および発送はこの度中止とさせていただくこととなりました。

お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。

経緯

2024年12月16日11時に、Morisawa Fontsサービスサイトにて「Morisawa Fonts書体見本帳2024–2025」の送付ご希望の受付のお知らせ、ならびに専用の受付フォームを公開しました。受付フォームは、送付対象となるMorisawa Fontsご契約者の氏名、メールアドレスを入力することで、弊社のデータベースに登録されているユーザー情報を参照し、送付先の住所と電話番号を確認する仕様でした。

しかし、受付フォームのセキュリティ対策に関する外部からの指摘を受けたため、弊社内で調査を開始し、12月19日12時に受付フォームを停止しました。氏名、メールアドレスだけによる認証を前提とする受付フォームは、第三者のなりすましによる個人情報の取得や登録住所の改ざんが起こり得る脆弱性を否定できないとし、同方法による受付中止を決定しました。

被害の可能性について

12月25日現在、個人情報の不正な取得および改ざんが行われた事実は確認されておりません。

本事案の対象となった個人情報

〈個人情報の項目〉

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号 

※ご登録のクレジットカード情報と、Morisawa IDのログインパスワードは対象ではございません。  

〈対象件数〉

4,945件 

※受付フォームでMorisawa IDの認証を通過し、画面に情報が表示された件数です。必ずしも第三者の不正な入力により表示され、情報が漏洩した件数を表すものではございません。

〈対象期間〉

2024年12月16日11:00～2024年12月19日12:00

対応について

12月23日に個人情報保護委員会へ報告を行いました。

本事案の対象であることが確認できたお客様には、弊社のサービスにご登録いただいたメールアドレス宛に電子メールにて、順次個別にご連絡を差し上げます。

なお、Morisawa Fonts有償プランご契約者様向け書体見本帳プレゼントにつきましては、セキュリティ対策を講じたのち、あらためてご案内予定です。

この度はご迷惑をおかけし誠に申し訳ございませんが、ご理解賜りますようお願い申し上げます。

本事案が発生した原因と再発防止に向けて

受付フォーム作成段階における仕様の確認、およびその運用テストが不十分であったことが原因です。

今後セキュリティ対策を十分に講じ、適切な対応を行う体制を強化することにより、同様の事態の再発防止に全力を尽くしてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-571】444株式会社 不正アクセスによる個人情報流出に関するお詫びとお知らせ 2024/12/25

 

この度、弊社が運営する「TechFUL」において、サーバーへの不正アクセスにより、個人情報と重要情報の流出が疑われる事象が判明いたしました。

攻撃を受けたサーバーには、学生、学校、企業を含むTechFULユーザーの個人情報や重要情報が含まれていることが判明しております。

ユーザーおよび関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

今後、このような事態が再発しないよう、セキュリティ対策を一層強化してまいります。

経緯

• 2024年12月11日
• クラウド管理会社よりネットワーク不正活動のアラートメールを受信し、TechFULシステムの調査を開始
• 2024年12月12日
• 開発用サーバーへの不正侵入を確認し隔離作業を完了。侵入原因の調査を開始
• 2024年12月13日
• 開発用サーバー内のデータベースが破壊されていることを確認。また、機密データを公開しないことを条件に身代金を要求する文面を発見
• 影響と被害内容の調査を開始
• 2024年12月18日
• 個人情報保護委員会と日本情報経済社会推進協会に速報を提出

外部流出した個人情報 / 重要情報

• 項目
• ユーザー情報
• ログインID
• ハッシュ化済みパスワード
• 氏名
• ユーザー表示名
• 誕生日・所属・学籍番号・現住所・休暇中住所
• キャリア希望、キャリア情報 (学歴、職歴)
• スキル情報、自己PR
• ログイン履歴
• セッション参加履歴、問題解答履歴
• 求人応募情報
• チャット履歴 
• フォームからのお問い合わせ内容 (問い合わせ元メールアドレスを含む)
• 学校情報
• 学校名、学部学科名
• 作成した問題コンテンツ
• 企業情報
• 企業名、HP など会社基本情報
• 窓口担当者の連絡先メールアドレス
• 出稿した求人情報
• 流出対象となるユーザー
• 2023年8月13日以前に ユーザー登録を行ったTechFULユーザー（データベース件数：45,576アカウント）
• 2023年8月13日以前に TechFULと契約した学校（データベース件数：475アカウント）
• 2023年8月13日以前に TechFULと契約した企業（データベース件数：264アカウント）

※ 流出したデータは、2023年8月13日までにTechFULに入力された情報です。それ以降の情報は流出しておりません。

原因

• 本番データベースのデータを開発用途に利用しており、開発用サーバーのアクセス制御設定に不備があったため、外部から開発用サーバーに対し攻撃者による不正侵入を受けました

現状の対応

• 不正侵入されたサーバーの隔離が完了しており、他サーバーや他システムへの被害拡大はありません
• TechFULシステム内の他サーバーを調査し、不正侵入やデータ流出などの不審な形跡がないことを確認しました
• 同様の不正侵入事故が発生しないよう、ネットワークやサーバーのアクセス設定を再確認しています

パスワード変更のお願い

今回のデータ外部流出により、お客様のパスワードを暗号化した情報（ハッシュ）が流出しています。

パスワードそのものが流出したわけではありませんが、悪意のある第三者が解読を試みる可能性があるため、

対象となる全てのユーザーに対してパスワードの再設定をお願いしております。

以下の手順に従って、速やかにパスワードの再設定をお願いいたします。

1. TechFULにログイン
2. 右上のアカウントボタンから「アカウント情報へ」をクリックし、アカウント情報ページを開く
3. パスワード項目横 「変更はコチラ」リンクをクリックし、パスワードを変更するページを開く
4. 「現在のパスワード」と「新しいパスワード」、「新しいパスワードの確認」を入力し、「更新する」ボタンをクリックする

対象となるユーザーは、2023年8月13日以前にユーザー登録を行い、2023年8月14日以降パスワードを変更していないユーザーとなります。

対象以外のユーザーはパスワードを変更する必要はありません。

今後の対応

弊社では、今回の事態を受け、以下の再発防止策を講じます。

• 不備のあるアクセス設定が実施されないよう、インフラ運用体制を見直します
• インフラ設定のレビュー体制の強化
• インフラ・セキュリティ監視体制の強化
• 開発用に使用するデータは、全て実データではなくダミーデータに差し替えます

相談窓口について

流出対象となるユーザー様につきましては、2024年12月25日16時に今回のデータ流出による影響を個別にメールにてお知らせしています。

弊社コーポレートサイト上に「お知らせ・お詫び文（https://techful.jp/info/4237）」を掲示いたしました。

本日より、ユーザー様相談窓口を設置し、WEBフォームでのお問い合わせ受付を開始しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-567】株式会社Schoo 個人情報漏えいのお知らせとお詫び 2024/12/24

 

このたび、弊社サービス「Schoo for Business（以下「本サービス」）におきまして、弊社のお客様の個人データが、特定条件下におけるお客様間で閲覧可能な状態にあり、これにより個人データ（主に所属会社名・氏名）が漏えいしていたことが判明いたしました。お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。

本事案に係る現時点の調査結果について、以下のとおりご報告申し上げます。

なお、現時点では、本件にかかる業績予想の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

1. 本件の概要

本サービスにて集合学習機能*1をご利用いただく際、2020年3月30日～2024年12月23日の間において、下記いずれかの条件下で、お客様間で個人データが閲覧可能な状態であることが判明いたしました。

● 条件1

本契約前に弊社がご用意した試用アカウント*2を利用して本サービスの集合学習機能をご利用いただいた場合

● 条件2

弊社が提携する一部の販売代理店を経由してご契約いただき、本サービスの集合学習機能をご利用いただいた場合

*1 利用者同士がSchooの授業やオリジナル動画を同時に視聴しながら、コミュニケーションを取ったり学びをアウトプットできる機能

*2 ご契約前にトライアルとしてとしてSchooの各機能をお試しいただくためのアカウント

2.漏えいした個人データ項目と個人データを閲覧できた範囲

● 集合学習機能にて学習部屋*3を作成したお客様

○ 漏えいした個人データ項目

■ 所属会社名、ユーザー名（氏名）、プロフィール画像

○ 個人データを閲覧できた範囲

■ 期間内に試用アカウントにて本サービスを利用したお客様間、もしくは期間内に該当の同一販売代理店にて契約し本サービスを利用されたお客様間

● 集合学習機能にて学習部屋に参加したお客様

○ 漏えいした個人データ項目

■ ユーザー名（氏名）、プロフィール画像

○ 個人データを閲覧できた範囲

■ 期間内に同一の学習部屋に参加したお客様間

*3 集合学習機能を使ってSchooの授業やオリジナル動画を同時に視聴しながら利用者同士でコミュニケーションを取るための部屋。利用者が任意の授業や動画を指定して作成できる

3.対象データに係る本人の数

本事案により漏えいが確認された個人データの総数は980件であり、内訳は以下となります。

● 条件1

試用アカウントで集合学習機能の学習部屋を作成したお客様の個人データに係る人数：190人

試用アカウントで集合学習機能の学習部屋に参加したお客様の個人データに係る人数：690人

● 条件2

販売代理店経由の契約で集合学習機能の学習部屋を作成したお客様の個人データに係る人数：6人

販売代理店経由の契約で集合学習機能の学習部屋に参加したお客様の個人データに係る人数：94人

4.原因

試用アカウントの運用不備により、同一の管理アカウント配下で複数社のお客様の試用アカウントを発行・管理している状況が判明いたしました。

また、一部の販売代理店に対する弊社の運用指示に不備があり、同一の管理アカウント配下で複数社のお客様のIDを発行・管理している状況も判明いたしました。

5.経緯

2024年12月19日、試用アカウントをご利用中のお客様より報告を受け問題が判明。

同日、試用アカウントで作成された集合学習機能の学習部屋を全て削除し、試用アカウントによる集合学習機能の利用を停止。

2024年12月23日、該当する販売代理店経由で契約されたアカウントで作成された集合学習機能の学習部屋を全て削除し、同アカウントによる集合学習機能の利用を停止。

6.二次被害又はそのおそれの有無及びその内容

現時点において二次被害が生じた事実は確認されておりません。

7.再発防止策

このたびの事態を厳粛に受け止め、試用アカウントの運用を見直すと同時に、従業員への教育を徹底いたします。また、併せて販売代理店への指示内容の再確認を行い、必要な是正を実施してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-538】大阪公立大学医学部附属病院 個人情報の漏洩のお詫びとお知らせ 2024/12/3

 

当院において、患者さまの個人情報が漏洩する事案が発生しました。

現時点で本事案による被害等は確認されていませんが、当該患者さまに対し、ご心配、ご迷惑をおかけしたことを改めてお詫びするとともに、改めて個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。

１ 概要

当院と当院の医療連携登録医（以下、登録医）との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク（以下、同ネットワーク）にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった。

２ 経緯および対応等

⚫ 2024 年 11 月 28 日（木）17：30 ごろ

当院職員が本事案を発見し、直ちにシステム委託業者へ状況の確認・調査を依頼する。

⚫ 2024 年 11 月 29 日（金）9：00

患者一覧の非表示設定を行い、本事象を改善する。原因の調査を引き続きシステム委託業者へ依頼する。

３ 原因

 地域医療患者一覧表示マスターの誤設定

４ 該当患者数、個人情報および閲覧可能者の範囲

⚫ 該当患者

618 名分（同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま）

⚫ 閲覧可能な状態にあった情報

「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」

⚫ 閲覧可能者の範囲

閲覧可能な医師： 125 施設 154 名

５ 再発防止策

⚫ システム設定変更の際には必ずマスター登録シートに基づき、チーム内でリスクや影響を確認して作業に着手することの徹底

⚫ 設定変更後は権限設定状況に応じた動作確認および作業完了承認の徹底

⚫ 個人情報保護研修、情報セキュリティ研修において適切な個人情報の取扱に関する認識の徹底

リリース文（アーカイブ）

【セキュリティ事件簿#2024-535】RIZAP株式会社 情報漏えいの可能性に関するお詫びとお知らせ 2024/11/29

 

10月31日に公表させていただきました「情報漏えいの可能性に関するお知らせ」の件、その後の調査により本日時点までに判明している事項につき、お知らせいたします。

本件はデータ取扱いのルール説明および運用の徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、当該クラウドサービスの利用ルールを明確化し、外部からの不要なアクセスが発生しない環境を整備しました。現在、当社で利用しているその他のクラウド環境についても、設定調査および継続的に設定状況を監視する仕組みの導入を計画しており、近日中の稼働を予定しております。また、データ取扱いのルール説明・徹底について、再度社内への周知を実施し、従業員への教育を徹底することで再発防止に取り組んでおります。

この度は、お客様ならびに関係者の皆様には大変なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。

本件判明後現時点まで、不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。また、詳細な調査を行った結果、本事案の対象データには要配慮個人情報やクレジットカード情報等は含まれていない事が確認できております。

今回の事項は以下の通りです。

１． 概要

当社が利用するクラウドサービス上で作成したお客様情報を含む一部のファイルが、アクセス権限の設定誤りにより、アクセス権限を持たない第三者が閲覧可能な状態にあったことが、2024 年 10 月 16 日に従業員により判明しました。

２．情報漏えいしたおそれのある項目と件数

＜項目＞

メールアドレス、氏名、生年月日、性別、住所、電話番号、会員番号など

※漏えいしたおそれのあるデータには、上記すべての項目ではなく、その一部が含まれている状態です。

＜件数及び項目＞

計365,461名

・内、メールアドレス、管理番号　　　　　　　　　： 162,768名

・内、管理番号のみ　　　　　　　　　　　　　　　： 82,867名

・内、メールアドレス、管理番号、性別、契約プラン： 60,654名

・その他　　　　　　　　　　　　　　　　　　　　： 59,172名

※要配慮個人情報やクレジットカード情報等は含まれていないことが確認できております。

※本件判明後現時点まで、これらの情報の不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。

＜アクセス権限を持たない第三者がアクセスできる状態にあった期間＞　　　　　

2022年1月24日～2024年10月25日　

※対象のデータによって閲覧可能期間は異なります。

※上記のお客様情報は、会員データベースから一時的に抽出したファイルデータであり、上記期間に継続して保管・蓄積していたものではありません。

３．今後の対応について

上記のお客様情報が漏えいしたおそれのある方で、ご連絡先が把握できた皆様には 、本日より順次、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のお問合せ窓口を設置いたします。

このたびは、お客様ならびに関係者の皆様に大変なご迷惑とご心配をおかけしましたことを、改めて心よりお詫び申し上げます。皆様に安心してご利用いただけるサービス運営を目指し、全社を挙げて取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-531】近畿大学 個人情報の流出について 2024/12/3

 

このたび、Googleフォームの設定ミスによる個人情報の流出が発生しました。

該当する学生、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

１．経緯

令和6年（2024年）11月15日（金）18時50分頃、入試運営業務に従事する学生158人に、アルバイトに関する情報登録フォームのURLを送付し、入力を依頼したところ、同日19時30分頃、学生から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました。20時00分頃、閲覧できないように設定を変更しましたが、この間、すでに登録済みの14人について個人情報が閲覧できる状態にありました。情報を見ることができたのは登録済みの14人のみであり、本日までに本件による被害の報告はありません。

２．流出した情報

対象者：フォームに情報を登録したアルバイト学生14人

内　容：氏名、学部・学科、学年、学籍番号、住所、電話番号、メールアドレス、口座情報、生年月日

３．対応

該当する学生には、11月17日（日）までに状況報告し、お詫びしました。また、不審な電話やメールなどがあった場合は、速やかに大学に連絡するよう伝えました。

４．今後の防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

①Googleフォームを使用する場合は複数名で動作確認を行い、登録テストを実施してから公開するように徹底する。

②教職員の情報セキュリティ研修の受講を徹底する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-526】大和ハウス工業株式会社 お客様情報等の外部流出に関するお知らせ 2024/12/2

この度、弊社が施工する物件の仮設現場事務所内で使用していた「ネットワーク対応ハードディスク」（以下「NAS」といいます）の設定不備により、お客様情報等を含むプロジェクト情報の一部がインターネットからアクセスできる状態になっていたことが判明いたしました。本件により、お客様ならびに関係者の皆様に多大なご心配とご迷惑をおかけいたしましたこと、心よりお詫び申し上げます。

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じておりますが、NAS 内に保管していた一部の情報に外部によるアクセスが確認されました。なお、現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

１．アクセスできる状態になっていた情報

・弊社集合住宅事業部門の一部の工事現場に関する情報

（図面、工事概要書、工程表、施工計画書、竣工検査報告書、発注先リスト 等）

※情報の中に、以下の個人情報が含まれておりました。

・物件に関係する施主様の氏名、工事関係資料等︓36 件

・物件名称に含まれる施主様の氏名︓約 5500 件

・近隣住民説明会に参加いただいた方の氏名等︓約 50 件

・お取引先様のご担当者様の氏名、作業員に関する情報等︓約 8300 件

２．外部からのアクセスが確認された期間およびアクセス数

・期間︓2023 年 12 月 13 日～2024 年 10 月 16 日

・アクセス数︓20 件、のべ 48 ファイル

※対象となる NAS は 2021 年 9 月から施工現場の仮設事務所内で使用されていましたが、2023 年 12 月 12 日までは外部からのアクセスは確認されておりません。

※対象の施主様、取引先従業員様、弊社派遣社員については、ご報告ならびにお詫びしております。

３．発覚後の対応状況

・次の措置を速やかに講じるとともに、本件に関するお客様ならびに関係者に対し、事実関係のご報告ならびに謝罪を進めております。

① 外部からのアクセスが可能となっていた NAS のネットワークからの遮断

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じております。

② 外部からの NAS へのアクセス状況の確認

NAS 内に保管していた一部のプロジェクト情報に対して外部からのアクセスが確認されました。

③ 二次被害状況の確認

現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

④ 同様の情報機器の使用状況の確認、使用中止、回収

本件以外にも他の施工現場で同様の機器が 29 台使用されていましたが、いずれも外部からのアクセスを遮断する設定がなされていることを確認しています。

⑤ 本件に関する個人情報保護委員会への報告

４．再発防止措置

・施工現場の仮設事務所内における情報セキュリティ対策が不十分であったことを真摯に受け止め、情報セキュリティに関する社内ルールの見直し（遵守状況確認も含む）を行うとともに、従業員に対する教育を徹底し、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-494】水産大学校 学生向け電子掲示情報が外部から閲覧可能状態にあったことについて 2024/11/12

 

本校の学生向け情報電子掲示システムにおいて、掲示情報が外部から閲覧可能状態にあったことにつきましては、令和６年９月１１日に本校ホームページにてお知らせしているところですが、本事案の調査結果等をご報告いたします。

関係者の皆さまにご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。

今後、このような問題が発生することのないよう、情報セキュリティの確保に関する取組を強化し、再発防止に努めてまいります。

なお、本日までに本事案に関する被害は確認されておりません。

１　事案の概要

令和６年９月５日、業務でウェブを検索していた本校職員の報告により、本校学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態にあることが判明しました。事象判明後、直ちにシステムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしたところですが、その後の調査において、閲覧可能状態にあった期間は平成２３年４月以降であることを把握しました。

現在、改修作業を行っていますが、システムの運用を再開するに当たっては、当該事象に係る改修の検証だけではなく、システム全体の安全性を十分に確認することとし、専門業者の協力のもと、必要な対応に取り組んでおります。

２　閲覧可能状態にあった情報の内容

（１）　平成２３年度以降に在籍歴のある学生の個人データ：　4,122件

（２）　平成２３年度以降に在籍歴のある教職員の個人データ：　314件

（３）　平成２３年度以降に採用された非常勤講師の個人データ：　56件

（４）　閲覧可能状態にあった個人データの種類：　学籍番号、氏名（姓のみ、カナ又はローマ字表記のみを含む）、電話番号、メールアドレス、ＳＮＳアカウント

３　発生原因

本システムは、平成２３年４月に全面更新を行いました。その際、当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報（ｈｔｍｌファイル）や添付ファイルを素早く閲覧できるよう、ファイルのＵＲＬを直接入力することで、ログイン認証なしでもアクセスできる設計としました。この場合、閲覧しようとするファイルの数十桁に及ぶ完全なＵＲＬを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っておりませんでした。

しかしながら、今般、一部の検索エンジンによって、お知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生しました。

なお、通信履歴を調査した結果、お知らせ情報の本文に該当するｈｔｍｌファイルが外部から閲覧された形跡は確認されておりません。

４　個人データが閲覧可能状態にあった方々へのご連絡

連絡先が確実に把握できる在校生及び在籍教職員の皆さまに対しましては、順次、電子メールにて、その事実を報告し、お詫び文を送付いたします。また、個人データの内容が姓のみ等で当該個人を特定できない場合及び卒業生、退職者等の皆さまに対しましては、本校ホームページに本事案に関するご報告と問い合わせ窓口に係るご案内を掲載し、個別に対応を行ってまいります。

５　再発防止に向けた取組

本事案に係る改修・検証及びシステム全体の安全性を担保するために必要な対応を講じるほか、今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-477】商事法務研究会 個人情報漏えいに関するお詫びとお知らせについて 2024/10/24

 

当会が、東京大学大学院法学政治学研究科から運営を受託する「産業データ連携の現状と法的展望に関するシンポジウム」（2024年11月8日開催予定）につき、当会が設置した聴講申込フォームの誤設定によって、聴講を申し込まれた方の個人情報を第三者が閲覧できる状態となっていたことが判明しました。本件判明後直ちに設定を修正し、現在は閲覧できないようにしておりますが、聴講申込者の皆様、関係者の方々に多大なるご迷惑及びご心配をお掛けしますことを深くお詫び申し上げます。

現時点において判明している事項は以下のとおりです。対象となる聴講申込者の皆様へは10月24日15時16分ごろにメールにてお詫びとご報告及びお問合せ窓口のご連絡を申し上げました。

なお、今後の報告については追って当会ウェブサイトでお知らせ申し上げます。

〈漏えい事象の概要〉

本シンポジウムの聴講者を聴講申込フォームを通じて募集しておりましたが、聴講を申し込まれた方が、申込後に画面に表示される「前回の回答の表示」というリンクをクリックすると、ほかの申込者の方の個人情報を含む申込情報を閲覧できる状態となっておりました。

〈漏えい状況〉

・件数

78名

・期間

2024年10月3日16時40分～2024年10月23日17時18分ごろ

・第三者が閲覧した可能性がある個人情報等

聴講申込フォームへご入力いただいておりました

　①氏名

　②ご所属

　③メールアドレス

　④コメント及びメッセージ

〈漏えいの原因〉

聴講申込フォームを当会が契約し利用するGoogle Formsで作成したところ、当会が誤って初期設定を変更し、その後の動作確認の不備が重なり、「前回の回答の表示」というリンクが表示される状態になっておりました。

〈事実経緯・対応状況〉

・2024年10月3日16時40分

聴講申込フォームを当会ウェブサイトに掲載

・同10月23日17時08分ごろ

シンポジウム関係者より申込情報を第三者が閲覧できるようになっているとのメールを受信

・同日17時09分

事務局でメールを確認し、状況の確認を開始

・同日17時18分

聴講を申し込まれた方が第三者の個人情報を含む申込情報を閲覧できる状態であることを確認。聴講申込フォームの設定を閲覧できないように修正（この時点で78名の申込あり）

・10月24日15時16分ごろ

対象となる聴講申込者の方に対して個別にメールにてお詫びとご報告を送信

・同16時45分ごろ

当会ウェブサイトに本「個人情報漏えいに関するお詫びとお知らせについて」を掲載個人情報保護委員会に漏えい事案報告

〈今後の対応〉

法律知識の普及・啓発活動を推進する当会として今回の事態を重く受け止めております。

今後同様の事態が生じないよう、個人情報を取り扱う上での管理体制を見直し・強化するとともに、利用するフォームの精査、フォーム公開前のチェック体制の見直しなど、再発防止策を検討・実施してまいります。また、法令等に基づく関係各所への報告・対応等についても速やかに進めてまいります。

今後、漏えいに伴う被害等の発生がないか調査を進め、新たな状況が判明しましたら、改めて当会ウェブサイトでお知らせ申し上げます。

この度の事態を発生させましたこと及び本事態を当会で認識できなかったことを重く受け止め、今後の運営についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-411】パーソルキャリア株式会社 「doda」求人広告の販売代理店向けシステムにおける不備に関するお詫び 2024/9/17

 

この度、弊社が運営する転職サービス「doda」求人広告の販売代理店（以下、代理店）向けに提供しているシステムの不備により、弊社が保有する法人顧客情報のうち、一部の採用担当者様の名刺情報に準ずる個人情報が代理店から閲覧できる状態になっていたことが判明いたしました。

現在はすでに当該システムの改修を行い、採用担当者様の個人情報は閲覧できない状態となっておりますので、今後の影響拡大の可能性はございません。

本事象の対象の方へは、本日よりご連絡を開始させていただきます。なお、弊社が現在ご連絡先を保有していない対象の方においては、本お詫びをもってお知らせに代えさせていただくことをご容赦ください。

本件により、多大なるご迷惑をおかけいたしました法人のお客様ならびに関係者の皆様に心よりお詫び申し上げます。

事象概要

「doda」求人広告を販売する代理店向けに提供しているシステム（以下、弊社システム）にて、本来、代理店業務において閲覧の必要性がない採用担当者様の名刺情報に準ずる個人情報が、代理店（代理店の委託先を含む）1,164社※から閲覧できる状態になっていました。

※対象期間に閲覧可能だった代理店および代理店の委託先の合計数

発覚経緯

弊社と取引のある法人顧客の採用担当者様が、取引のない代理店から営業を受け、自身の情報を入手した経緯を尋ねたところ弊社システムから得たとの回答があり、弊社に連絡をいただいたことから発覚に至りました。

影響範囲

本事象の発覚後、代理店への調査を実施したところ、情報の閲覧および閲覧した情報を利用した例は、発覚のきっかけとなった上記の1件を除き、現時点で検知しておりません。

また、代理店とは、秘密保持契約を締結しており、弊社システムから得た情報の目的外利用も禁止しております。

対象人数

549,195名

対象期間

2018年05月31日（木）18:00 ～ 2024年08月30日（金）20:00

閲覧された可能性のある情報

弊社で保有している法人顧客情報のうち、採用担当者様の会社名、会社住所、部署、役職、氏名（カナを含む）、メールアドレス　

※電話番号は含まれません。

発生理由

弊社システム開発時の仕様検討ならびにプライバシー観点からの確認および検証が不十分だったため、「doda」の法人顧客情報を管理する社内基幹データベースで保有している採用担当者様の情報が、弊社システムに連携されておりました。

現在の状況

8月30日(金)に、弊社システムの改修を行い、採用担当者様の個人情報は閲覧できない状態になっております。

事象の再発防止策

今回の事象を深刻に受け止め、同様の事象が発生しないよう、システム開発時の仕様検討およびプライバシーへの影響を事前に審査する仕組み（プライバシーレビュープロセス）を一層強化してまいります。

リリース文（アーカイブ）