ラベル インシデント:設定ミス の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:設定ミス の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-061】鹿島アントラーズ お客様情報が誤って表示された可能性に関するご報告とお詫び 2024/2/22

鹿島アントラーズ

この度、SÓCIO・ファンクラブ入会時にお申込いただいたユニフォームのネーム&ナンバー変更受付フォームに設定不備があり、ご入力いただいたお客様の個人情報を第三者が閲覧できる状態になっていたことが判明いたしました。つきましては、発生した事象と今後の対応についてご報告いたします。

対象の皆様に大変ご迷惑をおかけしたことを深くお詫び申し上げます。

発生事象概要

SÓCIO・ファンクラブご入会時にお申込いただいたユニフォームのネーム&ナンバーの変更受付フォームにおいて、お客様にご入力いただいた個人情報を第三者が閲覧できる状態になっておりました。

※個人情報の閲覧の可能性があるアクセス回数はのべ314回

発生期間

2024年1月8日(月・祝)15:00~2024年2月21日(水)10:08

対象件数と対象情報

・対象件数:16件
・対象情報:お客様にご入力いただいたメールアドレス、会員番号、会員種別、氏名、変更をご希望の選手名

発生原因

変更受付フォームの作成時に、誤って他の回答が閲覧できる状態に設定しておりました。また、当該設定についてダブルチェックを実施できておりませんでした。

現状確認されている被害

お客様より被害発生の報告は受けておりません。

今後の対応について

該当のお客様に対しては、本事象に関するご報告とお詫びをメールにてご案内いたしました。各種フォームの作成・設定時におけるダブルチェックを徹底し、再発防止に努めてまいります。

改めて、この度は多大なるご心配とご迷惑をおかけしたことを深くお詫び申し上げます。

【セキュリティ事件簿#2024-056】株式会社ビザビ 「備中あんたび2」サイクリングイベント参加者募集における個人情報の漏えいに関するお詫び 2024/1/29

株式会社ビザビ

このたび、株式会社ビザビが倉敷市から受託した「備中あんたび2」サイクリングイベント参加者募集において、参加申込者様の個人情報が閲覧できる状態になっていたことが判明いたしました。

参加申込者様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

現時点では本件による、当該個人情報の不正利用等の被害は報告されておりません。

弊社といたしましては、このような事態を招いたことを重く受け止め、再発防止の対策を講じてまいります。

お申込者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月19日、受託事業における専用の申込フォームを開設し、事業の参加申込を開始。

2024年1月22日、事業委託者より、株先会社ビザビに対し、外部から個人情報が閲覧可能になっているとの情報提供があったため、申込フォームの受付を至急停止するよう要請があり、速やかに、申込フォームの停止、削除を行い、その後は閲覧可能状態を是正した。
また、直ちに、32名のお申込者様へ電子メールとお電話にて謝罪と経緯の説明を行った。

2.対象の個人情報

お申込者様の氏名・住所・電話番号:32件

3.お申込者様への対応

個人情報が閲覧された可能性があるお申込者様には、電子メールとお電話にて、謝罪と経緯の説明を行いました。

4.再発防止に向けた対策

弊社ではこのたびの事態を厳粛に受け止め、全従業員を対象に、個人情報保護及び情報セキュリティ教育を徹底し、より一層の情報セキュリティ強化に取り組んでまいります。

改めて、お申込者様に多大なご迷惑とご心配をお掛けいたしましたこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2024-055】株式会社ラック オンライン受講システムでの個人情報漏えいの報告とお詫び 2024/2/21

ラック

当社ラックセキュリティアカデミーのオンライン受講システムにおいて、コース申し込みをいただいた方1名への情報閲覧の権限設定の際に作業ミスがありました。その結果、2024年1月10日~1月15日の間、1名の方が、過去に他のコースを受講した19名の方々のお名前、メールアドレス、受講履歴などの個人情報を閲覧できる状態になっていました。

通報を受けた後、直ちに原因と影響範囲の調査、および設定ミスの修正を実施し、ご迷惑をおかけした皆様(合計20名)への連絡と謝罪をおこないました。さらに、オンライン受講システム上のすべての登録データを調査し、同様の問題が無いこと、通報いただいた1名の方以外に受講者情報が漏えいしていないことを確認し、一連の経緯を関係機関へ報告しました。

あらためて今回の設定ミスによりご迷惑をおかけした皆様へお詫びするとともに、今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります。

【セキュリティ事件簿#2024-048】トヨタモビリティサービス株式会社 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて

トヨタモビリティサービス株式会社

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。
「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。

対象となるお客様は、2020年11月以降、「Booking Car」のご利用画面にてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は以下のとおりでございます。なお、クレジットカードに関する情報は当システム内に保持しておりませんので、漏洩の可能性はございません。

1 写真アップロード操作で保存した写真データ(顔写真、車両キズ等)
2 車両登録でお客様が設定した車両の画像データ
3 車両・従業員登録に使用する一時ファイルやログ情報

調査の結果、お客様のメールアドレスおよびお客様識別番号が保管されているデータサーバーへの不正アクセスおよび保管データの削除が行われたことが判明いたしました。お客様の個人情報流出の事実は確認できておりませんが、完全には否定できない状況となっております。

メールアドレスおよびお客様識別番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、メールを送付させていただき、お詫びと共に内容のご報告をさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。

1. 経緯と対応

2024年2月2日、「Booking Car」のデータ保管サーバー(Amazon Web Services S3 以下「AWS」といいます。)に対して、システム開発以前から使用されていたアクセスキーを用いて、不正に侵入がなされている事実を確認いたしました。調査の結果、2020年10月~2024年2月2日までの間、システム開発以前から使用されていたアクセスキーを利用することで、データサーバーに保管されているメールアドレスおよびお客様識別番号にアクセスできることが判明致しました。同日、直ちにデータサーバーのアクセスキーの変更および継続的な不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。

なお、「Booking Car」のデータ保管サーバーは、「Booking Car」の運用および当社の提供する他のサービスとは別個独立したサーバーであり、「Booking Car」の運用および当社の提供する他のサービスに影響はございません。

2. 流出の可能性が発生した原因

2020年2月、「Booking Car」開発委託先企業が、過去のプロダクト開発に使用していたAWS保存領域を使用し、「Booking Car」の一部の開発を開始しましたが、その際、過去の別プロダクト用に設定したAWSアクセスキーを無効化または消去するべきところ、2024年2月2日まで、適切に処理されておりませんでした。

本件は、開発委託先企業におけるアクセスキーの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。

お客様へのお願い

現時点で本件に関わる個人情報の不正利用は確認されておりませんが、差出人や件名に心当たりのない不審なメールを受信された場合は、ウイルス感染や不正アクセス等の危険がありますので、メール内に記載されたアドレス(URL)へのアクセスや添付ファイルの開封を行わず、メール自体を直ちに消去いただくようお願いいたします。

【セキュリティ事件簿#2024-045】東京テアトル株式会社 個人情報漏洩の可能性に関するお知らせとお詫び


このたび、一部のお客様がWEBサイト「マンション売却相談センター」(以下「当サイト」といいます。)内の無料相談、無料査定、お問い合わせのフォームに入力された個人情報が漏洩した可能性があることが判明いたしました。本件の経緯等について以下のとおりお知らせいたしますが、本件の原因は既に特定され、対応も完了いたしました。

お客様に多大なるご迷惑、ご心配をおかけしたことを、心よりお詫び申し上げます。

1.経緯


2024年1月17日9時から2024年2月5日13時までの間、過去にお客様が入力した情報が、当サイトのお問い合わせのフォームの入力画面上に表示されていた可能性があることが、2024年2月5日に判明いたしました。このため、情報を入力したご本人以外のお客様が、入力された情報を閲覧できる状態となっていて、個人情報が漏洩したおそれがあります。

当センターが、システムの状況を確認したところ、2024年1月17日に当サイトが新サイトに移行した際に、過去にお客様が入力した情報が、フォーム入力画面のキャッシュ(一度閲覧したページの情報を一時保存し、早く表示できるようにする機能)に保存される設定となっていたことが判明しました。

上記の状況が判明後、直ちに、お客様が入力した情報が保存されないよう、入力画面のキャッシュの設定を変更いたしましたので、現在は、お客様の情報が、情報を入力したご本人以外の方に閲覧されることはございません。

2.個人情報を閲覧された可能性のあるお客様


2024年1月17日9時から2024年2月5日13時までの間に、「マンション売却相談センター」の無料相談、無料査定、お問い合わせのフォームに情報を入力されたお客様55名

※本件の不具合は常に発生するわけではなく、アクセス環境などの特定の条件を満たした場合にのみ発生することを確認しております。

3.閲覧された可能性のある情報


・ご希望の査定方法

・ご希望の査定の種類

・売却予定時期

・お名前(ふりがな)

・ご希望の連絡方法

・電話番号

・電子メールアドレス

・ご住所

・売却希望物件の状況

・売却希望物件の住所

・そのほかお問い合わせのフォームの自由記入欄に記載いただいた内容

※お問い合わせのフォームに入力される情報に、人種や病歴などの要配慮個人情報やクレジットカード情報などの財産的被害が生じるおそれのある情報は含まれておりません。

4.原因と再発防止策


当サイトを新サイトに移行する際に、キャッシュプラグインの設定を変更いたしましたが、この設定に不備があったことが、本件の原因であることが判明いたしました。

当センターは、原因が判明後、フォームに入力された情報のキャッシュを保存しないよう、キャッシュプラグインの設定を修正いたしました。またキャッシュプラグインの自動更新設定をオフにし、プラグインの更新に伴いエラーが発生しないよう対処いたしました。

今後につきましては定期的に上記キャッシュプラグインの設定に不備がないかを確認してまいります。

5.今後の対応について


当センターは、個人情報を閲覧された可能性のあるお客様が、その情報を悪用されるなどの事象が発生した場合には、法令に従い、適切な措置を講じる所存です。

なお、システムの構造上、個人情報が漏洩したおそれのあるお客様を特定することができませんので、お手数をおかけして申し訳ありませんが、本件に関するお客様からのお問い合わせには、以下の窓口が対応させていただきます。

【セキュリティ事件簿#2024-020】オープンワーク株式会社 個人情報漏えいに関するお詫びとご報告


この度の「令和六年能登半島地震」によって、お亡くなりになられた方々のご冥福を心よりお祈り申し上げますとともに、被害にあわれた方々にお見舞い申し上げます。被災された地域の皆様の安全と、一日も早い復興をお祈り申し上げます。

当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、弊社から配信するメールの設定不備により、一部ユーザー様の個人情報漏えいが起きていることが発覚いたしましたのでご報告いたします。

2024 年 1 月 22 日から 1 月 24 日にかけて弊社から配信した一部のメールについて、ユーザー様の「氏名」および「求人の閲覧履歴(最大で直近 5 件分)」が他のユーザー様に誤って送信されておりました。

本件発覚後、すみやかに該当メールの配信を停止しております。

本件の対象となるユーザー様には順次、ご連絡いたします。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。
本件に関する概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2024 年 1 月 22 日に一部ユーザー様向けメールの設定を変更し、メールを配信いたしました。1 月 24 日に誤送信に関する問い合わせがあり、社内の調査によって、ユーザー様の個人情報が他のユーザー様に誤って送信されていることを確認し、同日、13 時 10 分に該当メールの配信を停止しております。

2.メール誤送信の詳細

■事象:
以下の期間に OpenWork から配信した一部のメールにおいて、ユーザー様(A)の「氏名」および「求人の閲覧履歴(最大で直近 5 件分)」を他のユーザー様(B)に送信しておりました。

■対象:
A に該当する人数:98 名
B に該当する人数:2,094 名

■期間:
2024 年 1 月 22 日~2024 年 1 月 24 日

3.ユーザーの皆様への対応について

2024 年 1 月 24 日 13 時 10 分に該当のメール配信を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4.再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、個人情報取り扱いフローの見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報漏えいに該当致しますので、JIPDEC への報告を速やかに行います。

この度は、ユーザーの皆様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2024-019】滋賀レイクス Googleフォーム誤操作による企画申込者の個人情報漏えいについて


1月23日に発信したフードメニューの購入事前予約受付において、WEBフォームの設定ミスにより、申込者22名の個人情報が一時的に他の申込者から閲覧できる状態となっておりました。
対象となった皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

概要

株式会社滋賀レイクスターズでは、1月31日のホームゲームで数量限定で販売予定のフードメニュー「ダンク3兄弟 トマホークステーキ」のオンライン時前予約の受付を、23日午後6時40分頃に一般公開いたしました。
その際、受付に使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開しており、申込画面で記入事項を送信した後に画面表示される「前の回答を表示」というボタンを押すと、その時点で申込が完了している方の氏名、メールアドレス、電話番号が閲覧できる状態となっておりました。

弊社の公式WEBサイト問い合わせフォームより本件の指摘があり、事態を認識した弊社スタッフが同日午後10時30分頃に設定切り替えを行いましたが、その時点までに申込をいただいていた22名の個人情報が一時的に申込者から閲覧できる状態でした。

なお、設定切り替え以降は、閲覧可能な状態は解消されております。

弊社対応

24日に、対象となる22名へ電子メールと個別の電話により、事態のご説明とお詫びの連絡を行っております。
また、弊社がGoogleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定はなかったことを確認しております。

原因 

Googleフォームで申込フォームを作成後、担当者が「結果の概要を表示する」をONにする誤操作を行っておりました。社内では質問項目のダブルチェックを行っておりましたが、デフォルト設定では当該設定はOFFであるため、全設定が正常であるかの確認は十分に行われておりませんでした。

再発防止策

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を、改めて全社員に周知徹底してまいります。
また、今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。

【セキュリティ事件簿#2024-017】プラズマ・核融合学会 個人情報漏えいに関するお知らせとお詫び


このたび、本学会 2002 年当時の会員名簿ファイルが WEB にて検索可能となっていることが判明したため、当該ファイルの削除を行うと共に 2023 年 12 月 8 日に個人情報保護委員会へ報告しました。

2023 年 12 月 5 日に旧会員の方からの指摘があり、調査したところ、当時会員名簿電子化作業を行っていたサーバー機にデータが保存されたままとなっており、2023 年 7 月 29日に機種更新を行った際の設定不備により、2002 年時点での 3,262 名の会員情報 (旧会員を含む) に関して検索可能となっておりました。 会員情報として、 名簿作成当時の会員の氏名、連絡先、学会会員番号、 所属などの情報が含まれておりますが、クレジットカード情報などお金に関わる情報はございません。

本事案判明後、当日中に当該サーバー機をネットから切り離し、 当該ファイルの削除を行うと共に、 検索サイトへのキャッシュの削除依頼などを実施 し、 12 月 27 日までにキャッシュデータが削除されたことを確認しました。

対象となりました会員の皆様には多大なご迷惑をおかけいたしましたこと心からお詫び申し上げます。 本学会では、これまでも個人情報取扱いにあたり、 厳格な取扱いと管理に努めてまいりましたが、このたびの事態を厳斎に受け止め、 再発防止に向けて個人情報管理体制についてあらためて強化改善を図ってまいります。

【セキュリティ事件簿#2024-016】「弥生のかんたん開業届」における個人情報漏えいに関するお詫びとご報告


弥生株式会社は、当社が提供する「弥生のかんたん開業届」サービスにおいて、入力いただいた情報が漏えいした可能性があることを確認いたしました。対象のお客さまをはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

現在、原因となったシステム不具合は改修を完了しており、以後、同事象は発生しておりません。今回の事象は、対象期間と対象条件(後述)において、「弥生のかんたん開業届」をご利用いただいた方に発生しました。対象数は152 ユーザーです。対象数には、ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性がある方、他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性がある方が含まれます。

対象のお客さまへは、当社カスタマーセンターから、順次ご連絡を差し上げております。お忙しい中、誠に申し訳ございませんがご対応いただけますようお願い申し上げます。

なお、当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

現時点(2024年1月26日(金) 15時)での情報は下記のとおりです。今後も新たな事実が判明した場合は、当お知らせを随時更新し情報発信を行います。

1.事象の概要

(1)発生事象とシステム対応

以下「2」に記載する対象期間かつ対象条件において、「弥生のかんたん開業届」サービス利用者のみがダウンロードできる書類データ(PDF)*にて、入力した本人とは異なる別ユーザーの情報が反映された書類データがダウンロードされ、それを閲覧できた可能性**があることがわかりました。お客さま(以下、A様)からお問い合わせをいただき、当事象を検知しました。その後、調査を行い原因を特定、システム改修は2024年1月15日(月) 16時25分に完了しております。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください

**「可能性」と記載している理由:調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました

2. 対象のお客さま

(1)対象サービス

「弥生のかんたん開業届」
  • 個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。

(2)対象期間と対象条件

  • 2023年2月28日(火)~2024年1月15日(月)
  • 「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に*行われた場合
*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません

(3)対象数と件数

① 対象数は152ユーザーです。以下が含まれます。
  • ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
  • 他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー
② ①のうち、閲覧された/したの関係性にある可能性がある件数は79件*

*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません

3. 対象情報

(1)閲覧された可能性のある情報

「弥生のかんたん開業届」からダウンロードされた書類に記載されていた項目
  • 氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始(予定)日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報(続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額)
  • 以下の書類に入力された項目(入力内容によってダウンロードされる書類が異なります)
  • 個人事業の開業・廃業等届出書
  • 所得税の青色申告承認申請書
  • 青色事業専従者給与に関する届出書
  • 源泉所得税の納期の特例の承認に関する申請書
  • 給与支払事務所等の開設届出書
*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります

当サービスへのログイン時に必要となる弥生ID(メールアドレス)および各種パスワードは含まれておりません。また、クレジットカード番号やマイナンバーは当サービスの利用において取得しておらず、含まれておりません。

4. お客さまへの対応

(1)当社からお客さまへの対応

  • 2024年1月25日(木)に当お知らせを公開*
  • 対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**

*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います

**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。

(2)当件においてご不安や確認事項があるお客さまへ

  • 当件においてご不安を持たれた方
  • 心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
  • そのほか、当件について確認事項等がある方
専用お問い合わせ窓口までご連絡ください。

5. 当事象の発生検知と原因、影響範囲

(1)発生検知と原因

発生検知
  • 2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。
発生原因
  • 検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ(以下、データA)が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。
原因に対するシステム改修は、当事象を検知した当日中(2024年1月15日)に完了しており、以後は発生しておりません。

(2)影響範囲

  • 当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

6. 今後の取り組み

当事象の検知後、原因の検証と改修を行ってまいりました。検証結果を踏まえ、再発防止に向けた議論と対応を当サービスの開発委託会社とともに継続的に取り組んでまいります。

このたびはご利用のお客さまおよび関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

【セキュリティ事件簿#2024-009】LINEヤフー 当社が利用する外部サービスの設定不備に関するお知らせ


このたび、旧LINE社のIT資産管理に利用している外部サービスのAPI*1設定不備により、登録している役職員*2の情報が外部から取得できる状態にあったことが判明いたしました。

なお、原因となるAPI*1設定不備の修正はすでに完了しております。 

1. 発生した事象

旧LINE社の社内資産管理・社内問合せ管理を目的として利用している外部サービスにおいて、当社によるAPI*1の設定不備により、登録している役職員情報が外部から取得できる状態にありました。 

本事象は、特定の操作により外部からデータ抽出が可能となっていた設定不備を、LINE Security Bug Bounty Program*3を通じた報告により判明いたしました。

外部から取得できる状態にあった情報は以下の通りです。現在は外部からのアクセスによる役職員情報等の取得ができないように設定変更を完了しております。

〈役職員に関する情報〉
氏名、メールアドレス、役職名 

<社内問い合わせに関する情報>
添付ファイル名、問い合わせ対応満足度サーベイ名、サーベイの回答者 
※ユーザー情報および取引先情報は上記に含まれません。

2.本事象の経緯と対応時系列

■2023年10月18日
・LINE Security Bug Bounty Programの参加者より、事象の通知を受け発覚
・担当が報告を受けて調査を開始
・外部からアクセス可能な設定になっていた機能を外部からアクセスできないように設定変更

■2023年10月19日
・利用するすべての環境で設定変更したことを確認

■2024年1月18日 
・本事象に関する公表を実施 

3.対象者へのお知らせ

該当する役職員には個別に連絡します。退職等により個別にご連絡ができない方には、本発表を以て、通知とさせていただきます。

本件によるフィッシング被害等の増加を含む二次被害は現時点で確認されておりませんが、漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信するおそれがございます。十分にご注意くださいますようお願い申し上げます。

関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

※なお、本件は11月27日に公表した「不正アクセスによる、情報漏えいに関するお知らせとお詫び」の事案との関連性はございません。

【セキュリティ事件簿#2024-004】株式会社イズミ ブランドショップ X-SELL 求人応募者に関する個人情報漏えいおよび漏えいの可能性に関するお詫び


この度、弊社が運営するブランドショップ X-SELL のホームページより過去に求人にご応募いただいた一部の方の個人情報が、インターネット検索サイトで検索した結果として閲覧できる状態にあることが判明いたしました。対象の皆様には、大変なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

早期対応にあたり、現在、個人情報は閲覧ができない状態に修正を完了しております。また、対象の皆様にはメールにてご報告後、ご連絡をさせていただいております。弊社といたしましては、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めてまいります。対象の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.本件の経緯

2024 年 1 月 4 日に、ブランドショップ X-SELL のホームページより、過去に求人にご応募いただいた一部の方のご応募の際にご入力いただいた「個人情報(氏名、メールアドレス、電話番号、性別)」および「応募コメント」が、前述の個人情報のいずれかのキーワードにてインターネット検索サイトで検索を行った場合に、検索結果として閲覧できる状態になっておりました。

即時、web サイト作成の委託会社に調査を依頼し、翌 1 月 5 日 14 時頃、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっていることを確認いたしました。

2.発生事象

①対 象:2016 年 6 月 14 日~2022 年 8 月 28 日の期間に、ブランドショップ X-SELL のホームページより、求人にご応募いただいた方の一部
②項 目:応募者の氏名、電話番号、メールアドレス、性別、応募コメント
③件 数:41 名

3.原因

SEO 対策時における設定のミスによるものと判明いたしました。現在は、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっております。

4.対応

①対象の皆様へのお知らせ
2024 年 1 月 8 日に対象の皆様にメールにてご報告を行い、個別にお電話でご連絡をさせていただいております。

※対象の皆様におかれましては、不審な電話やメールがあった場合は、絶対に個人情報をお伝えしたり、web サイト等にアクセスされたりしないようご注意ください。弊社から、口座情報などの重要な個人情報をお聞きすることはございません。

②行政
2024 年 1 月 9 日に個人情報保護委員会へ報告しております。
今後は委員会からの指導等に従ってまいります。

5.再発防止

調査会社によるブランドショップ X-SELL のホームページのセキュリティ調査を実施し、個人情報を保有するページを制作・保持しない運用に変更いたします。

【セキュリティ事件簿#2023-499】株式会社エイチーム 個人情報漏えいの可能性に関するご報告とお詫び


当社グループが利用するクラウドサービス上で作成した個人情報を含むファイルがインターネット上で閲覧可能な状態にあったことが判明し、2023年12月7日に「個人情報漏えいの可能性に関するお知らせ(以下、既報)」を公表いたしました。この度、本事案に関して調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

なお、既報の通り、本事案の判明後にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消しております。お客様ならびに関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

概要

当社グループで利用しているクラウドサービス「Googleドライブ」で管理する一部のファイルにおいて、個人情報がインターネット上で閲覧可能な状態にあったことが2023年11月21日に判明いたしました。当該ファイルの閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、端末識別番号・顧客管理番号・メールアドレス・氏名などを含む個人情報がインターネット上において閲覧できる状態でありました。要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

発覚の経緯は、グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことによります。

1.個人情報漏えいの可能性がある対象者

① サービスご利用のお客様

■ 当社グループで運営するサービス・アプリを過去にご利用いただいたことのある一部のお客様

② 取引先企業・法人のお客様

■ 当社グループとご契約・お取引があった一部の取引先企業・法人のお客様
■ 当社グループの担当者とメール等の対応があった一部の法人のお客様

③ 採用候補者

■ 過去に当社グループの採用選考に応募いただいた一部の新卒採用及び中途採用の採用候補者
■ 当社グループのインターンシップに参加した一部の学生

④ 当社グループ従業員

■ 当社グループに在籍している従業員(退職者含む)

2.漏えいした可能性のある情報
詳細の調査及び精査の上、判明した個人情報の漏えいの可能性がある情報は以下の通りです。

■ 個人情報を含むファイル数:1,369件
■ 対象となる人数:935,779人
 ※対象となる人数はユニーク数でカウントしております

■個人情報の漏えいの可能性がある人数
個人情報の漏えいの可能性がある人数は以下の通りです。


※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
※ 「④当社グループ従業員」の人数の内訳の記載は省略しております

■漏えいした可能性がある項目
漏えいした可能性がある主な項目は以下の通りです。なお、要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。


※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
※ 対象ファイルによって記載項目が異なります

3.インターネット上で個人情報の閲覧が可能となっていた期間

2017年3月~2023年11月22日まで
※ 対象ファイルを調査した結果、ファイル作成日が最も古かった時期を閲覧可能期間として記載しております
※ 各ファイルの作成日により、閲覧可能期間は異なります

4.経緯

グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことで本事案が発覚しました。当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルを調査したところ、個人情報を含む一部のファイルがインターネット上で閲覧可能な状態にあったことが2023年 11月21日に判明いたしました。

本事案が判明後の2023年11月22日にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消した上で詳細の調査及び精査を開始しました。
本事案が発覚した後、速やかに個人情報保護委員会に速報を提出し、調査状況のご報告といたしまして2023年12月7日に当社コーポレートサイトに「個人情報漏えいの可能性に関するお知らせ」を掲載しました。

グループ全体で詳細の調査及び精査が完了しましたので、2023年12月20日に個人情報保護委員会に確報を提出しました。

5.原因

当社グループで利用しているクラウドサービス「Googleドライブ」を利用して作成した個人情報を含む一部のファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

6.対象者の皆様への連絡について

個人情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、本事案の調査及び精査が完了した2023年12月20日より順次、個別に電子メール等により本事案のご報告とお詫びのご連絡をさせていただいております。

また、当社グループ各社でのコーポレートサイトでも本事案についてお知らせを掲載しております。個人情報の漏えいの可能性に関連する皆様に向け、本事案のお問い合わせ窓口を設置し、本記事の末尾に記載しております。

7.二次被害の有無とその可能性について

本事案に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。当社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、末尾のお問い合わせ窓口へ連絡をお願い申し上げます。

8.再発防止策

今後の再発防止策として、①セキュリティツールによる監視強化、②ファイル共有設定・権限の見直しによる制御、③個人情報の取り扱いに関する役員及び全従業員の意識向上に取り組んでまいります。

①セキュリティツールによる監視強化

セキュリティツールを活用した監視の強化を図り、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。

②ファイル共有設定・権限の見直しによる制御

「Googleドライブ」をはじめとしたファイル管理・共有を行うクラウドサービスにおいて、アクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施しました。

③個人情報の取り扱いに関する役員及び全従業員の意識向上

個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知徹底を行い、個人情報を含めた情報管理に関する意識の向上を図ります。また、役員及び全従業員の意識向上に向け、第三者である外部講師を招いた研修を実施予定です。

今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

【セキュリティ事件簿#2023-494】立命館アジア太平洋大学 個人情報を含むExcelファイルの掲載について(お詫び)


このたび、学外の方からの問い合わせにより、本学Webサイトに掲載していたExcelファイルに特別な加工をすると、当該Excel ファイルには表示されていない過去に外部リンク機能で一時保存されていたデータが閲覧でき、そこから2018年度に在籍していた学生の氏名、所属、回生、学籍番号、学内メールアドレス等の個人情報が確認できることが判明しました。学生・卒業生の皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

2023 年12 月4 日の事態判明後、ただちに当該ファイルは削除しました。また、現在のところ個人情報の不正利用等の二次被害は確認されておりません。

今回発生した事案の原因を究明するとともに再発防止に努めてまいります。なお、今回の事態にかかわって、ご相談やお問い合せがある場合には、下記までご連絡をお願いいたします。

【セキュリティ事件簿#2023-489】ミニストップ株式会社 「ミニストップオンライン」における個人情報漏洩に関するお詫び


平素よりミニストップをご愛顧受け賜りまして、誠にありがとうございます。

このたび、当社ECサイト「ミニストップオンライン」におきまして、個人情報漏洩が発生いたしました。発生内容については、下記の通りとなります。

〈発生事実〉
日時 :12月19日 11時30分~18時30分

事象 :
ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態

当該情報:
購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下3桁

対象者 :
ご自身の情報について他のお客さまが閲覧できる状態 10名
他のお客さまの情報が閲覧できる状態 11名
上記事象が重複している状態 9名
個人情報漏洩の範囲: 1名

※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果

原因 :
店頭受取商品の受注確定時におけるデータ加工ミス。

上記発生確認以降、ECサイトを即時閉鎖し対応しておりました。特定した対象者30名のお客さまには12月19日、20日に個別に電子メールにてお詫びとお知らせをご連絡しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客さまにおかれましては、多大なるご迷惑、ご心配をおかけする事態となりましたことを重ねて深くお詫びを申し上げます。

現在、該当事象の復旧作業も完了したため、一部のページの公開を再開させていただきます。再開ページについては、お客さまのマイページのみとなります。商品の購入については、恒久的なシステム対応が完了したのち再開させていただきます。

【セキュリティ事件簿#2023-487】IT導入補助金事業 事務局における個人情報を含むIT導入支援事業者情報の流出についてのお詫びとご報告


今般、TOPPAN株式会社が2023年8月1日より事務局として運営しております令和4年度第二次補正予算「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)におきまして、個人情報を含むIT導入支援事業者情報およびITツール情報等の本事業への登録情報が、外部からの操作で閲覧・取得されたことが判明いたしました。
本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
なお現在はシステムを改修し、個人情報の閲覧・取得はできないようになっております。

■発生した事象の概要
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページにおいて、ホームページ上で公開されていない個人情報を含むIT導入支援事業者情報およびITツール情報を外部からの操作により閲覧・取得されました。事務局としましては、本状態を認識できておらず、外部からの指摘によりこの度の事象が判明しました。

■発生原因
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページで使用されるプログラムの設計不備により、IT導入支援事業者情報およびITツール情報を外部から閲覧・取得可能な状態にあったため。

■発生期間
2023年8月1日~2023年12月12日 1時35分

■閲覧・取得された可能性のある個人情報数
38,269人分

■閲覧・取得された可能性のある 情報項目
①IT導入支援事業者の一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:役員氏名、担当者氏名、担当者メールアドレス

②ITツールの価格や一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:
・ITツール登録担当者氏名、メールアドレス
・実施者/販売者 氏名、メールアドレス

■二次被害について
現在、個人情報を含む事業者情報およびツール情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め、必要が生じた場合は速やかに対応してまいります。

■今後の対応と再発防止策について
既に、対象者の方々には個別にメールにてご連絡をさせていただいております。また、当該プログラムについては、厳重に総点検及び改修を実施し、現在は当該データの閲覧・取得ができないことを確認しております。
今後は、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図ってまいります。
今後とも「サービス等生産性向上IT導入支援事業費補助金」へのご理解とご協力の程、何卒よろしくお願い申し上げます。
改めまして、この度の事象におきまして皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。

【セキュリティ事件簿#2023-422】Suishow 株式会社 当社運営の「NauNau」をご利用いただいているお客様への 重要なお知らせとお詫びについて


2023 年 10 月 23 日付「Suishow 株式会社に関する報道について」にてお知らせいたしましたとおり、当社が運営する「NauNau」において、一時、少なくとも 200 万人以上のユーザの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道があり、これを受け、個人情報漏洩の可能性を含め第三者機関による調査を進めてまいりましたが、調査が終了いたしましたので、お知らせいたします。

調査の結果、セキュリティ設定の不備により、特定の手順を踏むことで個人情報の一部が不正に閲覧可能であったことが判明いたしましたが、第三者機関による調査で確認した範囲において情報流出の事実は確認されませんでした。調査結果等は下記のとおりです。

「NauNau」の利用者および関係者の皆さまには多大なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。現時点ではセキュリティ設定の見直しを行い、当該情報の不正な閲覧を行うことはできませんが、調査結果を踏まえ、再発防止策を策定し、セキュリティ向上に取り組んでまいります。なお、サービスの再開時期は、再発防止策(情報セキュリティ体制の見直しを含みます。)の策定と合わせて検討しておりますので、確定次第公表いたします。

■ 調査結果概要

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備がある状態でサービスが運用されていたため、不正にデータベースにアクセスできる状態でした。

<個人情報などにアクセスするための手段>
上記状況において、ユーザの位置情報やチャット履歴などを取得するためには、クラウド上のデータベースへのアクセス情報を入手し、様々なリクエストを送信する必要があります。

第三者機関による調査の結果、これを実行するためには、SSL/TLS を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスの API へのリクエストを組み立てるための知識が必要であることがわかりました。

<上記手段によりアクセス可能な情報と期間>

2022/09/29~2023/05/08:ユーザの現在地:推定 304 万ユーザ分
2022/09/29~2023/03/02:チャット内容/画像:推定 167 万ユーザ分
2022/09/29~2023/10/20:生年月日:推定 283 万ユーザ分
2022/09/29~2023/10/20:個人情報を含まないその他のユーザ情報
(アプリの起動回数等):推定 380 万ユーザ分
2022/10/22 20:34~20:58:ユーザの過去の位置履歴 :6,753 ユーザ分
2023/06/13~2023/10/20:カップル・家族グループに所属しているユーザ:53,457 ユーザ分
2023/10/06~2023/10/20:特定アプリのインストール状況※1:38,070 ユーザ分

※1 「NauNau」には恋人がマッチングアプリ等をインストールしているか分かる機能があり、当該アプリ等のインストールの有無に関する情報

■ 本件の原因

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備
がある状態でサービスが運用されていたため。

■ 経緯及び対応

2023 年 10 月 20 日(金) 当社に対し、報道機関から「NauNau」における個人情報漏洩の可能
性について指摘
2023 年 10 月 20 日(金) 当社にて状況調査、第三者機関への相談開始
2023 年 10 月 21 日(土) 「NauNau」のサービスを停止しアクセスを遮断
2023 年 10 月 23 日(月) 総務省及び個人情報保護委員会へ報告
2023 年 11 月 10 日(金) 第三者機関としてデジタルデータソリューション株式会社に個人情報
の流出の有無に関する調査を依頼し、調査開始
2023 年 11 月 20 日(月) 第三者機関として GMO サイバーセキュリティ by イエラエ株式会社
に表 1 記載の期間において「NauNau」上の情報に第三者がアクセスす
るための方法について調査を依頼し、調査開始
2023 年 12 月 4 日(月) 第三者機関による調査が完了

■ 再発防止策

専門機関である第三者機関の診断を受けた上で、再発防止策の検討を進めております。
改めまして、「NauNau」の利用者および関係者の皆さまに多大なるご迷惑とご心配をおか
けしましたことを、深くお詫び申し上げるとともに、再発防止に努めてまいります。

【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告


この度、JBRCホームページの「お問い合わせ」フォーム(https://www.jbrc.com/contact/input/)からいただいた問い合わせメールに添付されていた一部の資料が、インターネット上で閲覧可能な状態になっていることが判明いたしました。関係の皆様に、多大なご迷惑及びご心配をおかけしましたこと、心より深くお詫び申しあげます。

本件に関し、現段階で判明している事実と弊法人の対応についてご報告いたします。

1.経緯


本年11月6日、弊法人の関係先(排出事業者様等)に関する情報がインターネット上で閲覧可能な状態になっているとのご連絡を受けました。弊法人においてかかる状態を確認し、調査の結果、弊法人ホームページ上の「お問い合わせ」フォームから弊法人宛に送信された添付ファイルが閲覧可能な状態であることが判明しました。閲覧可能な状態にあった期間は、2018年6月1日0時頃から2023年11月10日11時頃まで(下記の対応完了時点)となり、かかる期間に送信された添付ファイル数は、約1,100件となります。

2.原因と対応


弊法人ホームページ上の「お問い合わせ」フォームの仕様において、送信された添付ファイルが、外部アクセスのリスクのあるフォルダに保存される状態に設定されていたことが判明しました。弊法人では、即座に添付ファイルが当該フォルダに保存されないように設定を変更しました。また、当該フォルダに保存されていたデータを全件確認し、「お問い合わせ」フォームにより送信された添付ファイルを含む約1,100件のデータを当該フォルダから削除する対応を実施し11月10日11時頃、完了しました。

また、閲覧されたことが確認された添付ファイルの送信者様には、11月17日に「お問い合わせメール情報管理不備についてのお詫び」と題する書簡を送付いたしました。

3.現在の状況とお願い


上記対応により、対応完了時点からの新たな情報流出は確認されておりません。また現時点では、今回の問題による二次被害等の報告は受けておりませんが、お気付きの点やお問い合わせがございましたら、下記のお問い合わせ窓口までお願いいたします。

4.再発防止について


弊法人は今回の事態を重く受け止め、今後は、職員一同、情報管理及び運営に関する意識をより一層高め、情報セキュリティー対策の強化徹底により、再発防止に全力で取り組んでまいります。多大なご迷惑とご心配をおかけしておりますこと重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて(お詫びとご報告)


当会が住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において受付フォームの設定ミスにより参加者の個人情報が閲覧できる状態となりました。参加者の方をはじめ関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねてしまいましたことを深くお詫び申しあげますとともに、今後このようなことがないよう再発防止に努めてまいります。

1.概要


住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において、Googleフォームズからの申込受付を行った。その際使用したGoogleフォームズの設定画面において「結果の概要を表示する」がONになっていることに気づかず運用したため、送信ボタンを押した後に表示される画面内の「前の回答を表示」というボタンを押した場合に、当該フォームにすでに申込していた参加者および保護者の個人情報を含む回答結果の一覧が閲覧できる状態にあったということが、令和5年11月8日(水)、弊支部協議会インスタグラムのダイレクトメッセージに参加申込をした保護者よりコメントがあった。令和5年12月2日(土)に、インスタグラムを確認したところ、当該コメントを発見し、事実を認識したものである。

2.判明日時


 令和5年12月2日(土)午前5時

3.流出した個人情報(10組27名)


 参加者氏名、学年、性別

 保護者氏名、電話番号、メールアドレス

4.判明後の対応


 令和5年12月2日(土)午前5時10分 「結果の概要を表示する」をOFF

             午後4時19分 支部協議会事務局長へ報告

 令和5年12月3日(日)午前11時50分 住吉区役所教育文化課へ口頭で報告

             午後1時00分 事業開始時に出席者7組18名に状況を説明し、謝罪

             午後5時00分 欠席者3組9名に電話で個別に状況を説明し、謝罪

5.原因


 フォームを作成した際、職員が回答完了後の動作確認を行っていなかったため

 「結果の概要を表示する」がONになったことが確認できなかった。

6.再発防止策


  • フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
  • チェックリストを用いたチェック体制の構築・運用を行う。
  • 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
  • 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。

【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】


このたび、当社配給映画『カンダハル 突破せよ』の公式X(旧Twitter)アカウントで実施した【映画『カンダハル 突破せよ』感想投稿キャンペーン】において当選者の個人情報が閲覧できる状況にあったことが判明しました。本件に関する概要につきまして、下記の通りご報告いたします。

ご迷惑をおかけした当選者の皆様には、個別にお詫びのご連絡をいたしました。
お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

1)個⼈情報漏えいが発⽣した項⽬


当選された25名様のXアカウント名、氏名、住所、電話番号、映画をご覧になった劇場名

※同キャンペーンの当選者33名に対して、11月24日(金曜日)午後3時49分よりダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、11月28日(火曜日)午後2時8分までに入力を行った25名の方の情報が相互で閲覧可能な状態にありました。

2)原因

当社が設置した応募入力フォームにて、Googleフォームの機能である「前の回答を表示」の設定を誤ったことが原因で入力した方の個人情報が閲覧できる状態になっておりました。

3)経緯と対応状況

11月24日
・公式Xアカウントにて、該当の入力フォームを当選者へ随時送付
11月28日
・フォームを入力したお客様から当社公式WEBサイト経由でお問い合わせいただき、ほかのお客様の情報が閲覧できるようになっているとご連絡(この時点までで25名が回答)
・お問い合わせメールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更。同様のご指摘を公式XへのDM返信でもいただいていたことを確認。
現在の対応
・当選者様全員に、本件についてのご説明とお詫びのご連絡。
・本お知らせをHPにて公表。

4)再発防止策

・同様の事態が今後発生しないよう、フォーム作成と公開時のルール確立、複数名でのチェック体制の原則化、各社員に対して個人情報保護の重要性をはじめとした教育の徹底など、再発防止策を実施します。

この度の事態についてご指摘いただくまでの長期間、状況を認識できなかったことを重く受け止め、今後の運用体制についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

【セキュリティ事件簿#2023-452】株式会社Geolocation Technology 採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び(第2報)


2023年11月11日付「採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び」(https://ssl4.eir-parts.net/doc/4018/tdnet/2360564/00.pdf)にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。  

2023年11月8日に、当社コーポレートサイトの設定不備により、2019年5月1日から2023年4月14日までの間、当社のコーポレートサイトの採用応募フォーム(変更前の応募サイト)から中途採用に応募いただいた、履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。直ちに対処を行い、2023年11月10日に、これらの書類は閲覧できない状態であることを確認しております。現時点において、履歴書および職務経歴書の不正利用等は報告されておりません。   

本事案について、一般財団法人 日本情報経済社会推進協会(JIPDEC)に報告いたしました。  

対象となられた皆さまには多大なご迷惑とご心配をお掛けいたしましたこと、深くお詫び申し上げます。 

1.本事案の概要と経緯   

2023年11月8日に、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっている旨のご連絡をいただきました。   

これを受け、直ちに調査を開始したところ、当該資料が、当社コーポレートサイトのフォルダに格納されておりましたが、そのフォルダが誤って「公開」の設定になっていることを確認し、直ちに対処するとともに、2023年11月10日に、これらの書類がすべて閲覧できない状態であることを確認いたしました。   

今回問題となった採用応募フォームは、2019年5月1日から2023年4月14日までの間、運用されており、この期間に応募いただいた履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。

(1)閲覧を確認した又は閲覧のおそれがある情報     
a)応募者様の数       
閲覧のおそれがある応募者様の数(※106名) 
※2023年11月11日付公表の108名の中に、2名の重複がありました。     

b)情報の内容       
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。 


(2)発生原因   
今回問題となった採用応募フォームは、外部ツールを利用して、制作していました。本外部ツールは、採用応募フォームに添付して送信したファイル(履歴書および職務経歴書のファイル)をフォルダに配置するようになっており、外部ツールの仕様の理解不足から、このフォルダが誤って「公開」の設定になっていました。さらに、外部公開されているフォルダにファイルを保管し続けておりました。   
この結果、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっていました。

2.再発防止策と今後の対応 

(1)再発防止策   
今後、ウェブサイト制作において、以下のルールを周知徹底するとともに、ルールが厳守されていることを監視・点検し、今回のような事案が決して再発しないよう、取り組んでまいります。

・外部ツールの利用の有無、利用目的の明確化、責任者による利用承認 
・制作したウェブサイトから入力された取扱情報および格納場所の明確化 
・取扱情報の公開・非公開の確認および、責任者による妥当性の承認   

当社内部における、採用応募の手順を見直し、当社コーポレートサイトからの応募書類(履歴書・職務経歴書など)は、直接メールで受け取るようにいたします。コーポレートサイト以外からの応募書類については、指定のツールやサイトを介し、受け取るようにします。受け取った応募書類は、人事関係者だけが非公開の場所で取り扱うように徹底し、採用活動が完了した応募書類は、直ちに破棄するとともに、責任者が監視・点検してまいります。 

(2)閲覧を確認した又は閲覧のおそれがある応募者様への対応 
現在までに閲覧を確認した又は閲覧のおそれがある応募者様につきましては、書面にてご連絡を差し上げます。