【セキュリティ事件簿#2023-410】株式会社サンリオ サンリオオンラインショップに係る個人情報漏洩に関するお知らせとお詫び

 

この度、株式会社サンリオ（本社：東京都品川区、以下「弊社」といいます）のオンラインショップ「サンリオオンラインショップ本店」にて、障害が発生し、一部のお客様において「マイページやご注文手続きページで、自分の情報でなく他のお客様の情報が表示される」という事象が発生いたしました（以下、「本件」といいます）。現時点では、お客様情報の不正利用などの事実は確認されておりませんが、皆様には多大なるご迷惑およびご心配をお掛けする事態にいたりましたこと、ここに深くお詫び申し上げますとともに、再発防止に向けて徹底を図る所存です。

1.経緯

2023年10月12日（木）13時20分～14時の間に、二人のお客様より弊社コンタクトセンターに対して「マイページやご注文手続きページで自分の情報でなく他のお客様の情報が表示される」というご連絡をいただきました。弊社にて調査を実施した結果、当該事象が発生していることを確認し、同日14時54分にオンラインショップの運営を一時的に停止いたしました。

その後の追加調査の結果、同日12時19分～14時54分の間、当該事象が発生する可能性がある状態となっていたことが判明いたしました。

2. 個人情報が表示されていた情報媒体

サンリオオンラインショップ本店。（実店舗やサンリオプラスアプリでは当該事象は発生しておりません）。

3. 発生期間（本人以外の個人情報が表示された発生期間）

2023年10月12日（木）12時19分～14時54分。

4.個人情報漏洩の対象となるお客様

上記3.の期間において、サンリオオンラインショップ本店へログインを⾏なった一部のお客様。

5. 漏洩が発生、もしくは発生した可能性があるお客様の数

最大145名のお客様情報。

6. 漏洩情報の種類

表示された可能性がある情報の種類は以下の通りとなります。

• 注文者情報【氏名/ニックネーム/メールアドレス/郵便番号/住所/電話番号】
• お子様情報【ニックネーム/生年月日/性別】
• お届け先情報【氏名/住所/電話番号】
• クレジットカード番号の下 3 桁/有効期限
• 注文商品名および金額

7.原因

大量アクセスに対応するためのサーバー負荷分散システムの誤設定（弊社オンラインショップのシステム運用会社である株式会社ビービーエフにて、弊社からの依頼に基づきサーバー負荷分散システムの設定を実施する際に、一部の設定に誤りがあったために発生）。

8.実施済みの対応と現在の状況

• 2023 年 10 月 12 日（木）14:54 にオンラインショップの運営を一時的に停止いたしました。結果、それ以降の漏洩は生じていない状況です。
• 本件の対象となる可能性があるお客様は特定済みであり、該当のお客様には、弊社より順次メールにてご連絡差し上げております。

9.今後の対応

弊社は、本件発生を重く受け止め、今後同様の事態が発生しないよう障害の要因となったシステムの障害対策強化・セキュリティ強化を実施し、信頼回復に全力を尽くして参ります。

皆様に、ご心配とご迷惑をお掛けしておりますことに、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-390】株式会社チューリップテレビ 個人情報の漏えいについて ２０２３年１０月４日

株式会社チューリップテレビ（本社 富山県富山市 代表取締役社長 山野昌道）は、自社制作番組で収集している個人情報が漏えいしたことを確認しました。ご紹介させていただきました方、ご応募をいただいた方をはじめ、視聴者や関係先の皆様に多大なるご迷惑をおかけし、深くお詫び申し上げます。

なお、これまでに本件に関する個人情報の不正な利用などは確認されておりません。

漏えいの内容

お誕生日をお祝いする番組『ハッピータイム』でご紹介した方や、その応募者の方の個人情報が、チューリップテレビの公式アプリ「チュプリ」の画面上で閲覧可能な状態になっていました。

１．閲覧できる状態になっていた時間

２０２３年１０月３日（火）午後３時ごろ～午後１１時ごろ

２．閲覧できるようになっていた個人情報

ハッピータイムに応募した方の電話番号

お誕生日の方の氏名、生年月日、住所（都道府県と市町村）、性別、それに写真応募者とお誕生日の方の関係、お祝いのメッセージ

３．閲覧できる状態になっていた件数

３２件（２０２３年５月２日から９月７日までに応募された方）

４．漏えいが発覚した経緯

２０２３年１０月３日（火）午後１０時５４分頃に、チュプリ会員から「チュプリ」の画面上で個人情報が閲覧可能な状態になっている旨、指摘を受けて確認した。

５．原因

システムを担当する委託業者が、アプリのプログラム改修を行ったことにより、既存のプログラムに影響が出た。作業後の確認が不十分だった。

今後、作業前に影響等についての十分な検証を行い、また、作業実施後は、正常な動作になっているか詳細に確認することとし、再発防止に努めてまいります。ご迷惑とご心配をおかけしたことを重ねてお詫び申し上げます。

リリース文（アーカイブ） 

【セキュリティ事件簿#2023-386】慶應義塾大学病院 電話診療による処方箋発行申込フォームをご利用いただいた皆様へ 個人情報管理上の不備に関するお詫びとご報告 2023年09月28日

このたび、「電話診療による処方箋発行申込フォーム（※）」よりお申し込みをいただいていた患者様の個人情報が、慶應義塾の関係者が特定の操作を行った場合に閲覧できる状態になっていたことが判明いたしました。

本件の対象は、当該フォーム（※）によりお申し込みをされた患者様です。対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。

対象となられた患者様に多大なご迷惑とご心配をお掛けいたしましたことを深くお詫び申し上げます。経緯および対応については以下のとおりです。

詳細な調査に時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。

（※）「電話診療による処方箋発行申込フォーム」は、「新型コロナウイルス感染症に係る診療報酬上の臨時的な取り扱い」の特例措置を受けて実施していた電話診療による処方箋発行のための申込フォーム（Googleフォーム）ですが、特例措置の終了に伴い現在は終了しております。

１．概要

病院ウェブサイトのお知らせに掲載していた「電話診療による処方箋発行申込フォーム」（Googleフォーム）について、2022年末に一時申込を休止し、2023年1月5日（木）に申込を再開する際、誤って回答用のURLではなく管理用のURLを公開しておりました。

管理用のURLを開いた場合も通常は回答用のフォームが表示されますが、「慶應義塾共通認証システム（以下、認証システム）」にログインした状態で管理用URLを開くと、回答用フォームではなく管理用フォームが表示され、かつ、管理用フォームの「回答タブ」を選択して表示を切り替えた場合に、個人情報を含む過去の申込内容を閲覧することができる状態となっていました。認証システムのIDは、慶應義塾の教職員のほか学生、一部の卒業生等も所有しています。

2023年4月28日（金）にこの認証システムのIDを所有する患者様からご連絡をいただき、事態が判明いたしました。

誤って管理用のURLを掲載していた期間は、2023年1月5日13時頃から4月28日9時頃までとなります。

２．認証システムにログインした場合に閲覧可能となっていた情報

2020年5月11日から2023年4月28日までに「電話診療による処方箋発行申込フォーム」で申し込みをされた患者様（4,858名）の以下の情報です。

氏名、生年月日、住所、電話番号、メールアドレス、診察券番号、6カ月以内に診察を受けたか、薬が何日分残っているか、前回受診時から保険証が変わっているか、次回予約日、受診予定診療科、予約医師名または予約名、処方の受取を希望する薬局名・店舗名、薬局の住所・電話番号・FAX番号

３．事態判明後の対応

事態が判明した4月28日（金）に本来の回答用URLへの差し替えを行った上で、管理用フォームのアクセス権限を本来の管理者のみに変更し、それ以外の者が管理用URLで管理用フォームを開こうとしても開かないようにしました。併せて、同日より本件に関する原因の調査を開始しました。

また、閲覧されたアクセスの記録の調査を行いましたが、画面上で一定の操作を行った閲覧者においてはアクセス記録を確認することができ、その閲覧者はいずれも他人の情報は取得していないことを確認しています。

これらの状況については、5月2日（火）に「令和２年 改正個人情報保護法」に基づき、本件について国の個人情報保護委員会及び東京都福祉保健局及び大学の所轄官庁である文部科学省に報告いたしました。

当該フォームを利用された対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。

現在のところ今回の管理用URLへのアクセスを原因として、患者様に関する個人情報が不正に使用された事実は確認、報告されておりません。

４．再発防止について

このたびの事態が起こった原因は、Googleフォームの管理権限が本来の管理者のみに限定されず認証システムのID所有者全体についていたことと、申込再開時に誤って管理用URLを公開してしまったことにあります。

事態判明後は、Googleフォームの管理権限を必ず担当者に限定する、また、ウェブサイトを編集、公開する際には必ず複数人で内容を確認するなど、再発防止の対策を講じています。

慶應義塾大学病院では、医療個人情報の保護に関する規程を定めており、定期的な研修を実施するなど、個人情報の適切な管理に努めてまいりましたが、この度の事案により、患者様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。

今後、教職員一同、個人情報の管理と運営に関する意識をより一層高め、再発防止に全力を尽くして参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-380】株式会社Hajimari 当社情報の漏洩に関するご報告とお詫び 2023/09/08

日頃、ご愛顧賜りまして誠にありがとうございます。

このたび、弊社サービス「ITプロパートナーズ」において、システムの不具合により、一部のサービス利用企業様の承認者様メールアドレスが　弊社「ITプロパートナーズ」ご利用中の稼働者様宛に送付されてしまう事象が発生し、個人情報の一部が漏洩してしまっていたことが判明いたしました。

弊社サービスをご利用いただいている方々をはじめ、関係者の皆様には多大なご迷惑およびご心配をお掛けいたしましたことを深くお詫び申し上げます。

弊社では、今回の事態を重く受け止め、より一層の管理体制の強化に努めてまいります。

また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

皆様には重ねてお詫び申し上げますとともに、本件に関する概要等につきまして、下記の通りご報告いたします。

1.本件の概要等

2023年9月1日（金）16時26分、「ITプロパートナーズ」をご利用中の企業様からのご指摘により、稼働者様宛のメールのCCに承認者様のメールアドレスが含まれていたことが発覚いたしました。

翌営業日より弊社エンジニアチームが調査を行ったところ、稼働者様向けに送付されるメールのCCに企業側承認者のメールアドレスが含まれる実装になっており、2023年2月1日(水)〜2023年9月4日(月)に送付されたメール総数890件/稼働者様メールアドレス638件/承認者様メールアドレス679件が影響範囲であることが特定されました。

事象の原因については、弊社サービスユーザー向けシステム「Hajimari Works」の不具合によるものと特定されました。

2.対象となる個人情報の内容

今回の対象となる主な個人情報の項目は以下です。

・「ITプロパートナーズ」利用企業様の承認者様メールアドレス

・「ITプロパートナーズ」経由での稼働者様のメールアドレス

3.今後の対応

＜お客様への対応＞

影響範囲内の稼働者様・企業様双方には、9月5日（火）、メールにてお詫びと事象のご説明をさせていただいております。

＜個人情報保護委員会への報告＞

また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

4.再発防止策

稼働者向けのメール送信時にCCを入れない形に実装を修正完了いたしました。

また、今後以下の対策も実施を予定しております。

・メール送信機能の宛先の見直し（対応時期目安：9月末）

・受け入れテストの体制再構築（対応時期目安：9月末）

・重要機能に対してのテストコードの導入（対応時期目安：11月末）

・外部企業によるセキュリティテストの実施の検討（対応時期目安：12月末）

リリース文（アーカイブ）

【セキュリティ事件簿#2023-367】INAC神戸 申し込みフォーム誤設定による個人情報表示に関するお知らせとお詫び 2023年9月16日

9月15日(土)に実施しましたINAC神戸U-15セレクションの事前申し込みの受け付けにつきまして、申し込みいただいた56名の方の個人情報が申し込みフォーム上で閲覧できる状態となってしまいました。お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

皆様には謹んでお詫び申し上げるとともに、本件について下記のとおりご報告いたします。

1．事象日時：2023年9月2日(土)～2023年9月11日(月)11時00分ごろ

2．公開した情報：お名前、住所、電話番号、サッカーチームやサッカーに関する経歴

3．対象：INAC神戸U-15セレクションにお申し込みいただいた皆様

4．経緯：

・INAC神戸U-15セレクションのお申し込みの回答期限終了後にGoogleフォームの「前の回答を表示」から閲覧できる状態が判明。

・Googleフォームを作成する段階で、誤って「前の回答を表示」する設定にしてしまったことが原因と考えられます。

5．対応：

・電話での問い合わせをいただいた後に、回答を表示できないよう設定を変更。

・対象のみなさまにメールにて事実関係の報告とお詫びをさせていただきました。

今回の事態を重く受け止め、個人情報の取り扱いには細心の注意を払い、再びこのようなことがないように再発防止に努めて参ります。

皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-364】大石田町 個人情報が閲覧できる状態になっていたことに関するお詫び 2023年9月17日

大石田町「新そばまつり」にお申込みいただいた情報が、他のお申込み者にも閲覧可能な状態となっていたことが判明しました。事前申し込みいただいた皆様にご迷惑をお掛けしたことを深くお詫び申し上げます。内容および対応については以下の通りです。 

1.概要

大石田町新そばまつりへの前売券の事前申込に使用していたGoogle Formsの設定ミスにより、当該フォームに回答した前売券の事前申込者がアクセスできる結果画面で他の申込者の個人情報が閲覧できる状態にあったことがわかりました。令和5年9月17日（日）時点で閲覧できる状態にあったのは32名あり、そのうち情報を閲覧できたのは申込みいただいた日以前の申込者の申込内容に限ります。 

2.個人情報が閲覧できる状態であった状況の概要

・件数 閲覧できる状態であった可能性がある方 32名

・期間 令和５年９月15日午後６時～9月17日午前10時

・閲覧できる状態であった可能性がある情報

フォームへ入力されていた以下の（1）～（5）の情報となります。

ただし、閲覧した際、申込内容の項目がそれぞれグラフ化されており、下記の項目について下記の順番で表示されており、個人を特定できる状態ではございませんでした。

なお、現時点において、個人情報が悪用されたなどの被害相談はございません。

（1）氏名（あいうえお順）

（2）住所（あいうえお順）

（3）郵便番号（数値順）

（4）電話番号（数値順）

（5）その他（申し込み枚数、参加希望日時順） 

3.対応状況

令和5年9月17日（日）10:00頃にフォーム上で個人情報が閲覧可能であったことが判明したため。10時10分頃にホームページにアクセスできないように設定を変更しました。11:00頃までに、個人情報が閲覧できる状態を解消し、14:30頃に、個人情報が閲覧される可能性があった申込者には電子メール等を用いて、お詫びと経緯の説明を行いました。 

4．再発防止のための対応

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての指導を徹底するとともに、ホームページ掲載にあたっては担当者による複層的なチェックを行い、再発防止に努めてまいります。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-362】マイクロソフト、誤って38TBの内部機密情報をお漏らし

 
2023年9月18日 - テクノロジー業界が注目する中、マイクロソフトは公開されたGitHubリポジトリでのオープンソースAI学習モデルへの貢献中に、緩すぎるShared Access Signature (SAS) トークンを含むURLを誤って共有したことを公表しました。このミスにより、同社の内部ストレージアカウント内の情報が外部からアクセス可能となってしまい、セキュリティ専門家の間で大きな議論が巻き起こっています。

この問題を最初に発見したのは、セキュリティ専門家のグループ、Wiz。彼らはこの脆弱性をマイクロソフトに報告し、同社はこの問題を迅速に対応。該当のSASトークンを無効化し、ストレージアカウントへの外部からのアクセスを完全に遮断しました。この迅速な対応により、さらなる情報の漏洩を防ぐことができました。

漏れた情報には、2人の元従業員のワークステーションプロファイルのバックアップや、Microsoft Teamsの内部メッセージが含まれていました。しかし、幸いにも顧客データや他の重要な情報の漏れは確認されていません。この事件は、クラウドストレージやオンラインサービスのセキュリティが今後も業界の大きな課題として残ることを示しています。

マイクロソフトは、今回の事件を受けて、SASトークンの使用に関するベストプラクティスを見直し、顧客に提供することを発表しました。同社は、今後もSASトークンの機能を強化し、サービスの安全性を最初から確保する姿勢を維持していくとのことです。また、セキュリティ研究者との連携をさらに深め、共同でセキュリティの向上に努めるとコメントしています。

この事件を受け、セキュリティ研究者と企業との連携の重要性が再び浮き彫りとなりました。マイクロソフトは、今後も研究者との連携を深め、セキュリティの向上に努めるとコメントしています。同社は、今回のような事件を未来に防ぐための新しい技術や手法の開発にも注力しており、ユーザーや企業のデータ保護を最優先として行動していく方針を明らかにしました。

リリース文：Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token（アーカイブ）

参考：マイクロソフト、誤って38TBの内部機密情報を漏えい

【セキュリティ事件簿#2023-326】ミライフ東日本 個人情報流出に関するお詫びとご報告 2023年8月15日

このたび、弊社ホームページの「お問い合わせフォーム」におきまして、お客さまが入力された情報を第三者が閲覧できる状態となっていたことが判明いたしました。お客さまの大切な個人情報を流出させてしまったことを深くお詫び申し上げます。

個人情報が表示された可能性のあるお客さまには、すでに個別にご連絡を差し上げております。

今回の件は、ウェブサイト運営に関し、弊社の管理監督が行き届かなかったことに起因しております。また、弊社として初めて直面した事態であったこともあり、原因究明や対応策の決定、お客さまへのご連絡に大変時間がかかってしまったことも深く反省しております。

今後はお客さまの個人情報を取り扱ううえでの責任の重さを再確認し、再発防止に努めますとともに、情報セキュリティの向上に全社を挙げて取りくんでまいります。

経緯

2023年6月24日(土)夕方、弊社ホームページのお問い合わせフォーム確認画面で、他者の情報があらかじめ入力された状態になっていると、お客さまからご指摘を頂戴しました。ホームページの管理委託先企業に連絡し、ただちにお問い合わせフォームへのアクセスを一時的に停止いたしました。

その後の調査により、ウェブページ読み込みスピードを速くするために行ったプラグインの設定変更が原因であることが判明しました。プラグインの設定を変更前の状態に戻し、テスト動作で問題がないことを確認のうえ、6月28日(水)にお問い合わせフォームを復旧いたしました。

現在は、お問い合わせフォームに入力された情報が画面上で他者に閲覧できる状態にはなっておりません。

表示された個人情報について

【表示された期間】

6月22日(木)9:30頃～6月24日(土)18:30頃

【個人情報が表示されたお客さま】

4名様

【表示された個人情報へのアクセス数】

3件（弊社および管理委託先企業からのアクセスを除いた推測値）

 【閲覧された可能性のある情報】

お名前、フリガナ、連絡先電話番号、メールアドレス、郵便番号、ご住所、お問い合わせの内容、訪問希望日時

原因

ホームページ管理委託先企業のシステム担当者が、データの読み込みに時間がかかる問題を解決するため、プラグインでキャッシュを残す設定変更をしました。この設定変更がお問い合わせフォームの入力情報に影響することをシステム担当者が認識しておらず、お問い合わせフォームに入力された情報が一時的に閲覧可能な状態となりました。

事前にテスト動作を行う検証環境や、本番変更の際の承認フローが不十分であったことが要因として考えられます。

再発防止策

これまでは、システム改修に関することにのみ、事前確認ルールを策定しておりました。今後はウェブサイト管理に関わる変更作業に際し、弊社および管理委託先企業の両社で合意した基準に則り、作業報告書の作成と確認、テストサイトでの確認、作業後の確認を行う運用ルールといたしました。

今後の対応

現在までのところ、閲覧可能であった個人情報が不正に使用された事実は発見されておりません。今後、お客さまの個人情報が閲覧されたことにより、個人情報が悪用されるなどの事態が生じた場合には、各種法令にしたがい、適切な措置を講じる所存です。

なお弊社では、お客さまから個人情報を聞き出すような営業活動はしておりません。

弊社になりすました不審な連絡にご注意くださいますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-316】埼玉県 部活動体験参加申込者の個人情報の誤掲載について 2023年8月9日

県立川越南高等学校において、部活動体験の参加申込フォームで申込者の個人情報が他の申込者から閲覧できる状態になる事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1 事故の概要

県立川越南高等学校の職員が中学生向けの部活動体験の参加申込フォームを作成した際、Googleフォームの「結果の概要を表示する」機能を誤って有効に設定した。

令和5年6月15日（木曜日）、同申込フォームに参加者から申し込みが始まる。

8月8日（火曜日）、申し込みをした中学生の保護者から学校に指摘があり、管理職に報告され、事故が発覚した。

2 個人情報の内容

申込者67名分の生徒氏名、在籍中学校、生年月日、電話番号

3 学校の対応

8月8日（火曜日）  事故発覚後、参加申込フォームから個人情報を閲覧できないように設定した。

8月9日（水曜日）  申し込みをした生徒及び保護者に対し、事故について報告するとともに謝罪をした。

4 再発防止策

今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-312】宝塚市 教育用ネットワークシステム内におけるアクセス権限の設定不備の発生について 2023年8月14日

1.概要

令和5（2023）年5月18日から7月26日までの間、本来、教職員だけがアクセス（検索・閲覧・ダウンロード）できるファイルのうち、一部のファイルにアクセス権限設定の不備があり、児童生徒も教育用タブレット端末からアクセスできる状態になっていたことが判明しました。

2.事案発覚の経緯と対応

7月26日に匿名のメールで情報提供があり、教育委員会がアクセス履歴を調査したところ、本年5月18日から7月26日までの間、一部の児童生徒が当該ファイルにアクセスしていたことが判明しました。

7月27日、教育委員会はファイルをダウンロードした児童生徒の端末を起動できないよう遠隔操作で制限を設けたうえ、現在は端末を回収し、代替機と交換しています。この回収した全ての端末を解析したところ、ダウンロードしたファイルを端末外に持ち出した形跡はなく、現時点において、アクセスされた個人情報等の不正利用などは確認されていません。

なお、当該ファイルへのアクセスは市立小中学校の児童生徒と教職員に限定されており、広く外部にファイルが流出したものではありません。

3．事案発生の原因

本年5月18日、宝塚市教育委員会の教育用ネットワークシステムにおける運用保守業務の受託業者が、過去3年間、一度も利用実績のないファイルを旧システム上（サーバ）から現在使用しているクラウドサービスのサイトへ移行する作業の過程において、児童生徒にもアクセスできる設定に変更されたことによるものです。

アクセス権限が変更された原因は調査中ですが、この移行作業において、使用したツールの挙動や仕様の確認およびテストを十分に行い、移行後のアクセス権限の確認を実施していれば防げた事案であると考えています。

4.アクセスされた個人情報を含むファイルの件数など

（1） アクセスされた個人情報を含むファイル数　122件

（2） 当該ファイルを閲覧した児童生徒数　7人

（3） 当該ファイルをダウンロードした生徒数　3人

5.アクセスされた個人情報の主な内容

（1） 一部の児童生徒の指導上の資料や名簿などの個人情報

（2） 一部の教職員の学歴などの個人情報

6.今後の対応

市立学校園に在籍する全児童生徒の保護者に対して本事案を通知するほか、関係する児童生徒、保護者、教職員に対して、改めて事案の説明とお詫びをします。

また、当該システムで管理している全ファイルのアクセス権限を再度確認します。

7．再発防止について

ファイル移行時には、受託業者だけではなく、本市の職員も含めて複数人で確認するなど、慎重に対応するよう周知、徹底を図ります。

また、ファイルを移行する場合の手順書を作成します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-307】神奈川県 個人情報漏えいについて 2023年08月03日

「令和5年度　第3回　神奈川県移住セミナー」の事前申込の受付において、申し込みされた5名の方の個人情報が申込フォーム上で閲覧できる状態になっていたことが判明しました。

1 概要

(1) 発生の状況

本県は、「令和5年度　第3回　神奈川県移住セミナー」の申込に当たり、Googleフォームを利用していましたが、申込フォームの設定において誤ったアカウントを共同編集者として登録してしまったことから、当該アカウントのユーザーにおいて、最初の申込のあった令和5年7月19日（水曜日）20時21分以降、8月3日（水曜日）11時頃までの間、申込者5名の登録情報を閲覧できる状態となっていました。

（注記）Googleフォームとは

Google LLCが提供している、オンラインによる申込やアンケートに活用できるサービス

(2) 判明した経緯

8月3日（木曜日）11時頃に、共同編集者として本来登録すべきアカウントのユーザーから、Googleフォームにアクセスできない旨の連絡があり、アカウントの設定が誤っていることが判明しました。

2 流出した個人情報

5名分の個人情報（氏名、住所、電話番号、メールアドレス、職業、年代）

3 原因

Googleフォームの共同編集者のアカウント設定における人為的作業ミスによるものです。

4 対応

8月3日（木曜日）11時頃に、共同編集者のアカウントを修正しました。

県から申込のあった5名及び誤って共同編集者に設定したアカウントのユーザーに対して謝罪しました。

5 再発防止策

今後の神奈川県移住セミナーの申込においては、共同編集者設定時の確認を徹底するとともに、共同編集者の設定の必要性について再検討を行うなど、個人情報の厳格な管理を行います。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-294】宇部市教育ネットワーク内における個人情報の漏洩について 2023年8月4日

1　事案の概要

宇部市教育ネットワーク内におけるグループウェア（Microsoft　Teams）の利用において、プライバシー設定の誤りにより、小学校児童の個人情報の一部が漏洩したことが判明しました。

なお、本事案については、宇部市教育ネットワーク内における情報漏洩であり、閲覧は、小中学校の児童生徒及び教職員用端末に限定されます。

2　事案が判明した経緯

8月2日（水曜日）、児童が持ち帰った1人1台端末でグループ内の情報を閲覧した保護者からの通報により判明。

3　事案発生の原因

教職員がグループを作成する際に、プライバシー設定を誤って「パブリック（公開）」としたことにより、363グループ中5グループについて、グループ外のネットワーク利用者も閲覧可能となっていた。

4　漏洩した（閲覧が可能であった）児童の個人情報

小学校1校（1グループのみ）

• 指導資料（学級・氏名のイニシャル〈1文字〉・生活の様子）
• 班別名簿（111名の氏名）

5　事案発覚後の対応

閲覧可能であった5グループについて、設定変更または削除により対応

6　再発防止策

• グループ作成時の「プライベート（非公開）」設定など、個人情報の適切な管理について、教職員に再度、周知・徹底を図る。
• 教育委員会が定期的に設定状況を確認する。

7　教育長のコメント

このたび、教育ネットワークにおけるグループ作成時の誤設定により、個人情報の漏洩が発生し、該当校の児童や保護者をはじめ、市民の皆様に御心配をおかけしたことに対して、深くお詫び申し上げます。

教育委員会としましては、電子情報及び個人情報の取り扱いについて、より一層の指導の徹底を図り、教育行政及び学校教育の信頼回復に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-283】鹿児島大学病院 【重要】個人情報漏えいについて 2023年7月27日

厚生労働省ホームページ上に公表していた「令和元年度及び令和２年度厚生労働省 血液製剤使用適正化方策調査研究事業」に係る研究報告書の資料並びに鹿児島県合同輸血療法委員会から鹿児島県内医療機関、都道府県赤十字血液センター及び研修会に参加した医療従事者に配付した資料において、個人情報に該当する箇所を塗り隠す処理を施しPDFファイルに変換しておりましたが、パソコン上の操作により、本院の患者さん1,153人の個人情報が閲覧できる状態になっていたことが判明しました。

対象の皆様へは、本件の説明、お詫びの文書を発送させていただきましたが、このたびは、患者さんご自身はもとよりご家族の皆様に、多大なるご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。

なお、本院では、資料を配付した医療機関等から当該データの回収及び消去の確認を行い、現時点で、医療機関等に確認したところ、配付先の医療機関等以外への患者情報の流失は確認されておりません。

本院では、今回の事態を重く受け止め、改めて情報管理の徹底を図り、再発防止と信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-279】山口県 イベントの参加申込情報がインターネット上で閲覧できる状態になっていたことについて 2023年7月21日更新

障害のあるこどももないこどもも参加する交流イベント「あいサポランド」の委託事業者である学校法人ＹＩＣ学院が、本イベントの申込フォームの設定を誤り、他の参加申込者の個人情報がインターネット上で閲覧できる状態にあったことが判明しました。

事案判明後、直ちに下記の措置を講じました。

1　経緯

7月19日（水曜日）、委託事業者に申込者の一人から「申込フォームから『前の回答を表示』ボタンを押すと他の申込者の情報が閲覧できるようになっている。」と電話があり、発覚した。

2　閲覧可能であった個人情報及び期間

(1)　閲覧可能であった個人情報

申込者34名分の保護者氏名、子供氏名・年齢、住所、電話番号、メールアドレス、備考（配慮事項等）

(2)　閲覧可能な状態であった期間

令和5年7月13日（木曜日）から7月19日（水曜日）まで（7日間）

3　原因

　　 

申込フォームの設定を誤り、他の申込者の情報が閲覧できる設定にしていたため。

4　対応

•  直ちに、委託事業者以外が参加申込情報を閲覧できないようにした。
  
  
• 参加申込者34名へメール及び電話で、謝罪と事実関係の説明を行った。
  
  
• 県は委託事業者に対し、フォームの事前設定を複数名でチェックする等の再発防止に向けた情報管理の徹底を指示した。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-275】チエル株式会社 当社システムにおけるユーザー情報残置による個人情報漏洩に関するお詫びとお知らせ 2023 年７月 24 日

この度、当社システムにおきまして、データの残置による個人情報漏洩が確認されました。関係者の皆様に、多大なるご迷惑とご心配をおかけしていますことを深くお詫び申し上げます。なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。

１．経緯と対応状況

2023 年７月 13 日当社は、当社製品「ExtraConsole ID Manager」（以下、「ECIDM」という）内に、本来残置すべきではない他の ECIDM ユーザー情報が混入したことで、ECIDM のユーザーであり本システムの検証作業を行っていた大学のシステムご担当者 2 名によって当該個人情報が閲覧されたことを確認いたしました。

当該事態の判明後、直ちに当該大学のサーバー停止手続きを行い、情報漏洩の防止対応を実施した上で、７月 18 日に同大学内のデータを完全削除いたしました。現時点で当該個人情報の不正使用等の情報は確認されておりません。

なお、当該個人情報はシステム管理者であっても特定のコマンドを入力しなければ見ることができない領域に混入していたことから、上記２名以外の外部への流出の可能性は極めて低いと考えられますが、当社は、同バージョンの ECIDM をご利用頂いている 36 の教育委員会・大学様（以下「ユーザー団体」という）には、残置の有無にかかわらず、残置データの削除作業を依頼し、実施を進めております。

２．残置により当該システムご担当者 2 名に対し漏洩した個人情報及び残置の原因

(1) 当該システムご担当者 2 名に対し漏洩した個人情報

① ユーザー様の個人情報 23,508 件

項目は、学校名、生徒管理コード、学年、組、番号、特別支援学級、特別支援学級番号、姓、名、姓ふりがな、名ふりがな、名前、ふりがな、性別、生年月日、外国籍、出身校、入学日、転入前学校、転入日、編入前学校、編入日、去校日、転出日、転出先学校、退学日、退学先学校、卒業日、進学先学校

② ユーザー様の個人情報 7,036 件

項目は、氏名、パスワード、メールアドレス、ユーザ ID、学籍番号／人事番号、生年月日

(2) 残置の原因

保守目的で自社へ持ち出したプログラムに、システム不具合のため残置されていた個人情報が混入しており、さらに開発担当者の手違いにより他顧客への展開用のプログラムに混入してしまったため、本件が発生いたしました。

３．当社の対応

当社は、対象となるユーザー団体の情報を精査の上、関係各社と連携し、個別にご連絡が可能な方に対し当社よりご連絡を差し上げます。併せて、本件に関する専用お問い合わせ窓口を設置いたします。

４．再発防止への取組み状況

現在、再発防止策として、ECIDM の修正パッチを対象バージョンのすべてのお客様に無償で適用させていただく他、構築手順の抜本的な見直しを行います。

また、当社では、この度の事態を重く受け止め、今後、より一層の情報セキュリティ対策の強化に取り組んでまいります。

５．業績への影響

当社の業績に与える影響は現時点では不明でありますが、今後、業績に重大な影響を与えることが判明した場合は速やかにお知らせいたします。

リリース文（アーカイブ） 

【セキュリティ事件簿#2023-269】日本経済新聞社 メールアドレス漏洩の報告とお詫び 2023年7月21日

日本経済新聞社が20日（木）～21日（金）に大阪市で開催した「日経メッセ大阪」への来場を事前登録してくださった皆さまに案内メールを送信した際、受信者が他の事前登録者のメールアドレスを見られる状態になっていたことが判明しました。関係する皆さまに多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

当該メールは19日（水）午前8時30分ごろ、日経メッセ大阪の運営事務局（messeosaka@nikkeineon.jp）から来場事前登録者6,444人に対し、「日経メッセ大阪2023 いよいよ明日から開催」という件名で送信いたしました。本来であれば、お一人お一人個別にメールをお送りすべきところ、メール送信システムのプログラムの設定ミスによって最大1,000人にまとめて送信され、「To」に最大1,000人のメールアドレスがまとめて表示された状態となっておりました。

上記の事態は受信者からの問い合わせで発覚し、対象の皆さまには同日午後、お詫びと当該メールの削除をお願いするメールをお送りしました。個人情報保護委員会にも報告しました。

当社は今回の事態を深刻に受け止め、再発防止を徹底します。当該システムを速やかに改修するとともに、個人情報の管理を一層強化いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-175】個人情報保護委員会 トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について 2023年7月12日

個人情報保護委員会は、トヨタ自動車株式会社（以下「トヨタ社」という。）に対し、令和５年７月 12 日、個人情報の保護に関する法律（平成 15 年法律第57 号。以下「個人情報保護法」という。）第 147 条に基づく指導を行った。

事案の概要、本事案における個人情報保護法上の問題点及び個人情報保護法第 147 条に基づく指導の内容は以下のとおり。

１．事案の概要

トヨタ社は、関連会社であるトヨタコネクティッド株式会社（以下「TC 社」という。）に対し、車両利用者に対するサービスである T-Connect 及び G-Linkに関する個人データの取扱いを委託していたところ、TC 社のクラウド環境の誤設定に起因して両サービスのためのサーバ（以下「本件サーバ」という。）が公開状態に置かれていたことにより、T-Connect 用のサーバについては平成 25 年 11 月頃から令和５年４月頃までの間、G-Link 用のサーバについては平成 27 年２月頃から令和５年５月頃までの間、約 10 年間に渡り、両サービス利用者の車両から収集した約 230 万人分の個人データ（T-Connect 用のサーバについては車載機 ID、車台番号及び車両の位置情報等、G-Link 用のサーバについては車載機 ID、更新用地図データ及び更新用地図データの作成年月日等に関する情報）が、外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれのある事態が発覚した。

２．個人情報保護法上の問題点

トヨタ社では、個人データを保存するサーバのクラウド環境設定を行う従業員に対する個人情報に関する研修内容が不十分であったため、本件サーバ内に保存された車載機 ID、車台番号及び位置情報等が個人情報として認識されておらず、適切な取扱いが行われていなかった。

また、本件サーバのクラウド環境における設定には不備があり、アクセス制御が適切に実施されていなかった点に問題があったところであるが、トヨタ社は、委託先である TC 社における個人データの取扱いについて、サーバのクラウド環境におけるアクセス制御の観点からの監査・点検を実施しておらず、TC 社における個人データの取扱状況を適切に把握していなかった。

そのため、トヨタ社では、①従業者に対し、クラウド環境設定における個人データ取扱いのルールに関する社内教育を徹底する、②クラウド設定を監視するシステムを導入し、設定状況を継続的に監視するとともに、技術的に公開設定ができないようにする、③TC 社に対して、クラウド環境設定に関する個人データの取扱い状況を定期的に監査する等の再発防止策を策定している。

３．個人情報保護法第 147 条に基づく指導（概要）

(1) 個人情報保護法第 23 条及び第 25 条並びに個人情報保護法についてのガイドライン（通則編）に基づき、下記の通り個人データの安全管理のために必要かつ適切な措置を講ずること。

• 従業者に個人データを取り扱わせるにあたって、個人データの取扱いを周知徹底するとともに適切な教育を行うこと（人的安全管理措置）。
• 本来アクセスすべきでない者が本件サーバにアクセスすることがないよう、適切なアクセス制御を実施すること（技術的安全管理措置）。
• 委託先に対して、自らが講ずべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行うこと（委託先の監督）。

(2) トヨタ社が策定した上記①②③の再発防止策を確実に実施すること。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-259】株式会社ガイアックス 個人情報漏えいのインシデントにおけるお詫びとお知らせ 2023年7月7日

日頃よりソーシャルメディアラボをご利用いただき、誠にありがとうございます。

この度、ソーシャルメディアラボのセミナーお申込みサイトにおいて１件ユーザ様からの報告を受け、内部で確認を行ったところお申込みサイトで入力した内容を第三者が閲覧できてしまうことが発覚しました。

今回の原因としましては、アプリケーション側のキャッシュ設定に起因するものであり全ての総計によるアクセスにて情報漏えいしているものではなく、現時点での被害報告はございません。

尚、今回の公表以降にソーシャルメディアラボからユーザ様に対して個人情報を聞き出す、パスワードを要求するなどの個別連絡は一切いたしません。

ソーシャルメディアラボになりすました連絡には対応されませんようご注意ください。

現時点、対象お申込みフォームは Googleフォームへと移管し対応しております。

このたびはユーザーや関係者の皆様に多大なるご迷惑とご心配をおかけする事態となり、心よりお詫び申し上げます。

今後は再発防止の対策を徹底してまいります。

何卒よろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-243】株式会社WOWOW お客さまの個人情報漏えいに関するお知らせとお詫び（続報） 2023年7月5日

 2023年6月30日（金）にリリースいたしました「お客さまの個人情報漏えいに関するお知らせとお詫び」について、7月2日（日）に新たに個人情報漏えいを確認し、同日にシステム対策を実施いたしました。

それを受けて対象期間を拡大し、対象者の精査を行なった結果、現時点で漏えいが発生、又は発生した可能性がある対象者数は最大44,144名に変更となりました。

お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

なお、お客さま情報の不正利用などの事実は現在も確認されておりません。また、漏えいした項目に氏名、住所、電話番号等の個人を特定する情報は含まれておりません。

現時点で新たに判明した事を含めて、以下のとおりお知らせいたします。

（1） 概要

TVデバイスを含むWebブラウザでWOWOWオンデマンド（以下、WOD）にアクセスしてログインしたときに、同時にログインした別のお客さまがいた場合、不具合事象が発生することがありました。

不具合事象の内容は、「マイページ」の一部のメニューにおいて、当該別のお客さまの個⼈データ情報の⼀部を閲覧、クレジットカードの変更登録、その他会員⼿続きを⾏なうことができる状態になるというものです。

※MyWOWOWの「ご契約・ご登録情報確認」（https://www.wowow.co.jp/my_wowow/info/）のページは本事象の影響を受けておりません。

よって、⽒名、住所、電話番号等の個⼈を特定する情報は含まれておりません。

（2） 発生原因

これまでの事象と合わせて調査をしましたところ、WOWOWオンラインのユーザ認証システムの処理エラーが原因であることが判明しました。

（3） 発生期間

2023年6月9日（金）午後1時00分から7月2日（日）午後9時00分の約24日間

（4） 個人情報漏えいの対象となるお客さま

上記の発生期間において、TVデバイスを含むWebブラウザでWODへログインをした一部のお客さま。

（5）本事象による漏えいが発生、又は発生した可能性がある対象者数

現時点で確認された対象者数は、最大44,144名 ※前回6/30公表は、最大80,879名

（6）実施した対応と現在の状況

WOWOWオンラインのユーザ認証システムの改修を実施しました。

現在はWODへのログイン処理の際、WOWOWオンラインでのユーザ認証が正しく行なわれておりますが、引き続きシステム監視をしてまいります。

（7）個⼈情報漏えいが発⽣した可能性がある項⽬

以下のWOD内から参照できる情報

（⽒名、住所、電話番号等の個⼈を特定する情報は含まれておりま せん）

　■ご契約情報（契約種別、⽉額料⾦、次回請求予定⽇、クレジットカード番号（下3桁のみ））

　■端末名称（例「WOWOWのiPhone」）

　■お⽀払い履歴（⽇時、内容、キャリア決済の種類、クレジットカード番号（下3桁のみ））

　■お⽀払い⽅法（キャリア決済の種類、クレジットカード番号（下3桁のみ））

　■ご視聴履歴（視聴⽇時、作品タイトル）

　■ダウンロード情報（端末OS、ダウンロード⽇、ダウンロード作品）

　■お気に⼊りコンテンツ（作品タイトル）

（8）今後のお客さまへの対応について

本事象に関する影響範囲については、現在も調査中です。

対象となる可能性のあるお客さまへは引き続きメール等でお知らせいたします。登録情報や料金お支払いに影響する可能性があるお客さまにおかれましては、調査結果が判明次第、速やかに個別連絡をさせていただきます。

また、システムの処理エラーが原因であることが判明しましたので、6月8日（木）以前に同様の事象が発生していたかについても調査を開始しており、確認された場合は個別に対応させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-243】株式会社WOWOW お客さまの個人情報漏えいに関するお知らせとお詫び 2023年6月30日

動画配信サービス「WOWOWオンデマンド」（以下、WOD）において、一部のお客さまの個人情報漏えいを確認しました。当該事象を6月22日（木）に確認した後、システム対策をただちに実施いたしました。お客さま情報の不正利用などの事実は現在確認されておりません。お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

現時点で判明した状況について、以下のとおりお知らせいたします。

（1） 概要

下記期間において、WebブラウザでWODにアクセスしてログインしたお客さまは、「マイページ」にて別のお客さまの個人情報の一部を閲覧、クレジットカードの変更登録及びその他会員手続きを行なうことができる状態でした。ただし、氏名、住所、電話番号等の個人を特定する情報は含まれておりません。

（2） 発生期間

2023年6月9日（金）午後1時00分から6月22日（木）午後11時11分の約14日間

（3） 個人情報漏えいの対象となるお客さま

上記の期間において、WODへログインを⾏なった一部のお客さま

（4）WOD利用者で漏えいが発生、又は発生した可能性のあるお客さまの数

現時点で確認されたお客さまは、最大80,879名

（5）個人情報漏えいが発生した可能性がある項目

以下のWOD内から参照できる情報（ただし、氏名、住所、電話番号等の個人を特定する情報は含まれておりません）

　　■ご契約情報（契約種別、月額料金、次回請求予定日、クレジットカード番号（下3桁のみ））

　　■端末名称（例「WOWOWのiPhone」）

　　■お支払い履歴（日時、内容、キャリア決済の種類、クレジットカード番号（下3桁のみ））

　　■お支払い方法（キャリア決済の種類、クレジットカード番号（下3桁のみ））

　　■ご視聴履歴（視聴日時、作品タイトル）

　　■ダウンロード情報（端末OS、ダウンロード日、ダウンロード作品）

　　■お気に入りコンテンツ（作品タイトル）

（6）原因

WODへのログイン処理の際、WOWOWオンラインでのユーザ認証が正しく行なわれなかったため。

（7）実施した対応と現在の状況

6月22日（木）から6月23日（金）にシステム対策を実施し、現在はWODへのログイン処理の際、WOWOWオンラインでのユーザ認証が正しく行なわれております。また、システム対策実施後、個人情報漏えいは確認しておりません。

（8）今後のお客さまへの対応について

現時点で確認された該当の80,879名のお客さまにおかれましては、ひとまず本事象について、本日6月30日（金）中にメールにてお知らせいたします。

本件に関する影響範囲につきましては現在調査中です。登録情報や料金お支払いに影響する可能性があるお客さまにおかれましては、調査結果が判明次第、速やかに個別連絡をさせていただきます。

リリース文（アーカイブ）