ラベル インシデント:誤操作 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:誤操作 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-154】株式会社Acompany Googleフォーム誤設定による個人情報漏えいについて 2024/4/17

Acompany
 

Googleフォーム誤設定による個人情報漏えいに関し、以下のとおり、お知らせいたします。

本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

概要

下記4件のGoogleフォームの設定ミスにより、第三者が他人の回答情報を閲覧できる状態となっていました。

  • 「Acompanyのカジュアル面談」フォーム(回答数47件)

  • 2023年1月17日開催、イベント「【シリーズA資金調達リリース記念イベント】プライバシーテック市場の魅力とは」申し込みフォーム(回答数35件)

  • 2023年3月15日公開、ホワイトペーパー「個人データ活用における同意取得・管理に関するプライバシーテック適用余地」ダウンロード申し込みフォーム(回答数51件)

  • 2023年3月31日公開、ホワイトペーパー「データクリーンルームにおけるプライバシーテック適用余地」ダウンロード申し込みフォーム(回答数31件)

本件の影響

  • 漏えい件数 :最大で164名

Googleフォーム誤設定による個人情報漏えい状況

期間

件数

漏えいした恐れのある情報

「Acompanyのカジュアル面談」フォーム

〜2024年4月16日17:50ごろ(いつからフォームの誤設定が生じていたかは現時点では不明)

47件

- 氏名
- フォームに入力いただいた情報

2023年1月17日開催、イベント「【シリーズA資金調達リリース記念イベント】プライバシーテック市場の魅力とは」申し込みフォーム

〜2024年4月17日10:30ごろ(同上)
※なお、Googleフォームの使用は2023年1月17日18時時点で終了していました

35件

- 氏名
- 所属先名
- フォームに入力いただいた情報

2023年3月15日公開、ホワイトペーパー「個人データ活用における同意取得・管理に関するプライバシーテック適用余地」ダウンロード申し込みフォーム

〜2024年4月17日10:30ごろ(同上)
※なお、Googleフォームの使用は2023年4月27日時点で終了していました

51件

- 氏名
- メールアドレス
- 会社名
- 部署

2023年3月31日公開、ホワイトペーパー「データクリーンルームにおけるプライバシーテック適用余地」ダウンロード申し込みフォーム

〜2024年4月17日10:30ごろ(同上)
※なお、Googleフォームの使用は2023年4月27日時点で終了していました

31件

- 氏名
- メールアドレス
- 会社名
- 部署

なお、現時点において、漏えいによる被害の発生は確認できておりません。

原因

該当する4件のGoogleフォームの設定にて「結果の概要を表示する」を有効にしていたため、第三者が他人の入力情報を閲覧できる状態となっておりました。

具体的には、入力終了後の画面に表示される「前の回答を表示」というリンクをクリックすると、他人の入力情報を閲覧できる状態となっておりました。

事実経緯・対応状況

  • 2024年4月16日(火)17:40ごろ カジュアル面談応募者からの連絡により事案発覚

  • 4月16日(火)17:50ごろ 「Acompanyのカジュアル面談フォーム」を確認のうえ、直ちに第三者が他人の入力情報を閲覧できないよう設定を変更

  • 4月16日(火)18:00ごろ-4月17日(水)10:30ごろ 他に利用しているGoogleフォームで同様の設定がないかを洗い出し、設定状況を確認 上記の結果、「Acompanyのカジュアル面談フォーム」以外にも、3件のフォームが「結果の概要を表示する」の設定がオンになっていたことが判明

  • 4月17日(水)10:30ごろ 上記3件のフォームも直ちに第三者が他人の入力情報を閲覧できないよう設定を変更

  • 4月17日(水)15:00ごろ 個人情報保護委員会へ速報として報告

  • 4月17日(水)16:00 本お知らせを公表

今後の対応

個人情報が漏えいした可能性のある方(最大164名)にメールにて個別に連絡を実施させていただきます。

また、今後同様の事態が生じないよう、利用するサービスの精査、フォーム公開時のルール・チェック体制の見直し、社内のプライバシーガバナンス体制の確立など、再発防止策を検討・実施してまいります。

改めまして、関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-148】会津若松市 イベント申込者個人情報の不適切な取扱いについて 2024/4/4

 

概要

市が支援・協力している市内大戸地区の地域運営組織「大戸まちづくり協議会」が主催するイベント「まるごと健康ウィーク!!inおおとvol.2」において、市職員がオンラインの申込フォームの設定を誤り、イベント申込者8名の個人情報が、一定期間公開されていた可能性があるという事案が発生しました。

関係者の方々に深くお詫びしますとともに、このようなことが起きないよう、個人情報の管理につきまして、改めて周知徹底を図ってまいります。

不適切な取扱いの内容

令和6年2月28日から3月7日までの期間に、イベントのオンライン申込フォームのアクセス制限の設定を誤って共有設定に変更してしまったため、それ以前に申し込みをいただいていた8名の方の個人情報(1月申込4名の住所、氏名、電話番号及びメールアドレスと、3月7日申込の1組4名の氏名、電話番号)が新たに申込しようと申込フォームにアクセスした方に閲覧可能な状態になっていたものです。

発生原因

今回の不適切な個人情報の取扱が発生した原因は、イベント周知用のチラシに記載したQRコードを誤って管理者用URLから作成してしまったこと、さらに、その後、誤ってアクセス制限を誰でも編集・閲覧可能な共有設定に変更してしまったことという2つのミスが重なったことによるものです。これにより、アクセス制限設定前は、管理者用URLから作成した二次元コードでアクセスしても個人情報を閲覧することはできませんでしたが、その後の誤ったアクセス制限設定後は、申込フォームにアクセスした方がすでに申し込まれていた個人情報を閲覧可能となってしまったものです。

対応状況

令和6年3月8日、外部関係者からの情報提供により申込フォームが編集可能となっていることを把握。情報漏えいの可能性もあることから、直ちに申込フォームを閉鎖し情報拡散を防ぐ処置を行い、事実確認と原因究明を行いました。事実確認の結果、少なくとも3月7日に申し込みを行おうとした1名の方が、先に申込されていた4名の方の個人情報を閲覧できたことを確認したところです。

また、申込内容が閲覧可能となってしまった方々への対応については、3月14日から15日までに事前に概要の連絡を行った上で、イベント当日の3月16日に直接お会いして事案の内容や原因など詳細説明と謝罪を行ったところです。

今後の対応

今後、このようなことを繰り返さないよう、オンライン申込フォームについて、より安全性の高いものに変更するとともに、情報セキュリティに関する職員の研修を行ってまいります。さらに、複数の職員で事前に確認を行うなど、チェック体制の充実を図ってまいります。

なお、職員に対して、個人情報の管理について、改めて周知徹底を図ってまいります。

リリース文アーカイブ

Labels:
Location: 日本、福島県会津若松市

【セキュリティ事件簿#2024-145】岐阜県 従業員結婚支援団体に係る個人情報の漏えいについて 2024/4/3

ぎふマリッジサポートセンター
 

ぎふマリッジサポートセンターの運営委託事業者(日本イベント企画(株)・以下「運営委託事業者」)がメールを送付した際に、メール文中のリンク先ファイルの設定を誤り、「従業員結婚支援団体」の担当者氏名等が閲覧できる状態となる個人情報の漏えい事案が発生しました。

1 事案の概要

○3月31日(日)に運営委託事業者職員が、従業員結婚支援団体※ (登録 307 者・以下「団体」)宛にメールマガジンを送付した際、本文内に記載した婚活イベント情報のリンク先を誤って設定し、送信。(本来イベント情報のファイルとすべきところ、誤って団体の名簿ファイルを設定。)

○リンク先から各団体の担当者の氏名(301 名分)、個人メールアドレス(192 件)等が掲載された ファイルが閲覧可能となり、リンク停止までに13団体が閲覧(アクセス記録から解析)。

 ※従業員結婚支援団体…県内に事業所があり、独身従業員の方に婚活イベント等の情報を提供し、支援いただ いている企業・団体(https://konsapo.pref.gifu.lg.jp/supporter/jyugyoin/)

2 経緯

・3月31日(日)14時00分

運営委託事業者職員が、婚活イベントを案内するメールマガジンを団体宛に送付。この際、リンク先ファイルの内容確認を行わないまま送信。

・4月 1日(月)18時ごろ

メールマガジン受信者からぎふマリッジサポートセンターにリンク先の誤りを指摘する旨の連絡があり、運営委託事業者において事態を把握。19時25分までにリンク停止の作業を完了。 (その後、県担当者にメールで報告がなされたが退庁後のため翌朝開封)

・4月 2日(火)

運営委託事業者からリンク先にアクセスした13団体に対し、ファイル削除を依頼するとともに不拡散を確認。

・4月 3日(水)11時30分

 運営委託事業者から全団体に対し、事案の説明と謝罪を実施。

3 現在の状況について

 本件に起因する個人情報の不正利用やトラブルは確認されていない。

4 今後の対応について

  • 運営委託事業者において、メール送付時の確認を徹底(送付先、添付ファイル、リンク先を複数人でチェック)。個人情報を含むデータはパスワード設定を必須とし、他ファイルと分けて管理。

  • 県主導により、本事業に係る情報関連業務のリスクの洗出しと対策を確認。運営委託事業者を含む 業務従事者への情報セキュリティ研修を速やかに実施。

Labels:

【セキュリティ事件簿#2024-141】福岡県信用農業協同組合連合会 個人情報漏えいについて 2024/3/11

福岡県信用農業協同組合連合会
 

令和6年3月5日(火)、当会職員による電子メールアドレスの送信先設定ミスにより、個人情報を含む98件のデータが会外に漏えいする事案が発生しました。

対象の皆様へは、個別にお詫びと本件の説明をさせていただきましたが、このような事態が発生し、対象の皆様はもとより関係者の皆様に、多大なるご迷惑とご心配をおかけすることになり、改めて深くお詫び申しあげます。

今回の事態を重く受け止め、改めて個人情報等の管理徹底および電子メールの運用方法の見直し等を図り、再発防止と信頼回復に努めてまいります。

(発生事象)

  • 令和 6 年 3 月 5 日(火)、個人情報(JA名、氏名、生年月日、年齢)について、送信先の電子メールアドレスのドメインを「@gmail」とすべきところを誤って「@gmai」と設定し、送信を行いました。

  • 同日、関係省庁・県警に対して、今回の事象について報告を行いました。

  • 令和 6 年 3 月 7 日(木)から 8 日(金)において、対象の皆様へ個別に謝罪文書を手交させていただくとともに、お詫びと本件の説明を行いました。

  • 現時点では、本件にかかるデータ悪用等の事実は確認されておりません。

(再発防止)

  • 外部へ送信する全てのメールについて、役席者によるアドレス確認を事前に行ったうえでメール送信を行うよう徹底を図っています。また、送信先に対しメール着信を確認したうえで、暗号化解除のパスワードを送付するよう徹底を図っています。

Labels:
Location: 日本、〒810-0001 福岡県福岡市中央区天神4丁目10−12

【セキュリティ事件簿#2024-130】別府大学・別府大学短期大学部 大学事務局職員によるメール誤送信について 2024/3/5

 

2024年2月17日(土)に、大学事務局の職員が本学学生の「成績通知書のPDFファイル」(文学部史学・文化財学科4年生全員分)を、誤って他学科の学生(1名)へ送信するという事案が発生しました。

誤送信後、直ちに送信相手の学生へ連絡をとり、PDFファイルを開く前に、当該メールを削除したことを確認しています。

学生及び保護者の皆様をはじめ、本学をご支援いただいている多くの皆様に多大なるご迷惑、ご心配をおかけすることになりましたことを、心よりお詫び申し上げます。

今後はこのような事態を発生させないよう担当者はもとより、部署全体で作業手順の見直しや職員教育を徹底するなど、業務改善を行ってまいります。

リリース文アーカイブ

Labels:
Location: 日本、〒874-0000 大分県別府市北石垣82 メディア教育・研究センター

【セキュリティ事件簿#2024-106】アトレチコ鈴鹿クラブ 情報取り扱い不備に関するお詫びとお知らせ 2024/3/15


いつもアトレチコ鈴鹿クラブをご支援頂きありがとうございます。

この度、弊クラブが作成したチラシ「鈴鹿市内の小中学生をホーム開幕戦へご招待します」につきまして、応募QRコードを通じて、応募者の個人情報が閲覧できる事象が発生いたしました。

ご応募いただいたお客様をはじめ、関係者の皆様に多大なるご迷惑、及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が閲覧された可能性のあるお客様には、本日より、お電話、及び一部の方には電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊クラブでは、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げます。

尚、現在はチラシに記載しているQRコードからの応募を停止させていただいております。

Labels:

【セキュリティ事件簿#2024-079】株式会社アテクト メールアドレス流出に関するお詫び 2024/2/21

株式会社アテクト
 

この度、弊社からお客様へ電⼦メールを送信した際、送信者の不⼿際により、同送したお客様のメールアドレスが表⽰された状態で送信してしまいました。

皆様には⼤変なご迷惑とご⼼配をお掛けしましたことを深くお詫び申し上げます。

このような事態を招いたことを重く受け⽌め、個⼈情報の取り扱いに対して厳重に注意すると共に、運⽤及び管理体制について再度⾒直し、再発防⽌に努めてまいります。

1.本事案の概要

2024 年2⽉20⽇ 13 時 37 分~45 分頃
お客様に電⼦メールを送信。

同⽇ 13 時 51 分頃
上記電⼦メールを受信されたお客様からのご指摘を受け、本件を把握しました。

2.発⽣の原因

⼀⻫送信する際には、本来であればアドレスを「BCC」として送信すべきところ、送信時の確認不⾜により、誤って宛先を「TO」として送信してしまいました。

3.流出情報・件数

メールアドレス(2,055 件)

4.お客様への対応

当該電⼦メール送信先のお客様に、内容報告及びメールアドレス流出に関するお詫びと共に当該電⼦メールの削除をお願いしております。

5.再発防⽌策

今後、複数宛先にメール送信を⾏う際には、宛先の⼊⼒(TO、CC、BCC)を複数名で確認してから送信することを徹底いたします。

Labels:

【セキュリティ事件簿#2024-053】NPO法人美原体育協会 不正アクセスによる個人情報の流出の可能性がある事案の発生について(お詫び) 2024/2/20

NPO法人美原体育協会
 

平素は、美原体育館等をご利用いただき、誠にありがとうございます。当体育館において、外部から業務用パソコンへの不正アクセスによる個人情報の流出の可能性があることが判明しました。

1 不正アクセスを受けたパソコンの環境

  • 当館の業務用パソコン端末は計 5 台。被害当時、5 台のうち当該パソコンと親機の 2 台のみ電源が入った状態で、2 月 12 日(月)午後 7 時~14 日(水)午前 8 時半の 間、電源が入った状態で外部と接続され、遠隔操作可能な状態にあった。
 ※稼働していなかったパソコンへの遠隔操作はないことが確認されている。また、当該 パソコンと親機は一時的に遠隔操作が可能な状態であったが、メールの送受信履歴 やリモート接続ソフトのログ上ではファイルを外部に送信した記録はなく情報流出 の可能性は低い。

2 当該パソコンからアクセスが可能であった個人情報の項目及び件数

 【項目】美原体育館の利用者、同館のスポーツ教室利用者等の氏名、住所、電話番号、 生年月日、保護者名、一部の利用者の口座情報(銀行名、支店名、口座番号)

 【当該パソコン及び親機に保存されている個人情報の件数】 約 14,000 件

3 発生の原因

  • 業務中にインターネット検索をしていた際、誤って広告ページにアクセスしてしまっ たこと。
  • 当該事案が発生した際、ただちに業務責任者へ共有すべきところ、情報インシデント が発生しているという認識がなかったため事業者内部の共有が遅れたこと。

4 再発防止策

  •  指定管理者内でのインシデント発生時の体制及び対応策について再確認し、セキュリティ対策の徹底により再発防止策を講じること。
     業務パソコン操作時にインターネット検索時の不審な広告やメール等にアクセスせ ず、万が一誤って接続し誘導・警告メッセージ等が出た場合には、すぐに当該パソコ ンの電源を切断し、ネットワークから遮断する。パスワードの変更及び個人情報を含 むファイルの管理を徹底する。
  • 事案の発生から発覚まで職員間の共有がなく、市への報告が遅れたことから、今後、組織内の共有及び市への報告を直ちに行うこと。

5 今後の対応

  • 二次被害についても専門業者と継続して対策を講じ、指定管理者職員によるインターネット上のパトロールも実施します。
  • 流出の可能性があった個人情報の対象となる方に対し、周知とお詫び及び被害が発生していないか聞き取りを行ってまいります。
市民の皆様をはじめ利用者や関係の皆様にはご心配とご迷惑をお掛けすることとなり深くお詫び申し上げます。

今後、このような事案を発生させないよう再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について


このたび、厚生労働省において、職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたことにより、休日、夜間等に業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、令和6年1月23日(火)に判明しました。当該メールには、行政機関の職員の公務用メールアドレスや私人の電話番号などの個人情報が含まれており、それらが漏えいしました(詳細は後述)。

事案の概要その他再発防止策等について下記のとおりお知らせいたします。

関係者の皆さまに深くお詫びしますとともに、再発防止のため、しっかりと取り組んでまいります。

1.事案の概要

職員の緊急連絡先である私用メールアドレスが本人により誤って登録されたことにより、令和5年9月15日(金)以降、休日などに業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、当該誤登録者の報告により、令和6年1月23日(火)に判明。

今回の事案において個人情報が漏えいした者は675名。

うち、
 ・ 公務メールアドレスが漏えいした行政機関職員は650名、
 ・ 電話番号が漏えいした私人は、25名
であることを確認した。

2.発生原因

職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたこと。

また、誤登録後、当該職員において、休日、夜間等もリモートアクセスによる公務メールアドレスを用いた対応のみを行っていたため、私用メールアドレスにおける業務上のメール受信の有無の確認が行われなかったこと。

3.本事案に関する対応状況(被害の状況等)

誤送信先に対し、謝罪や削除依頼等の連絡をしている(当該誤送信先である、誤登録されたメールアドレスの所有者からの応答はこれまでない)。

4.再発防止策

テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する。

5.関係者への説明

個人情報が漏えいした行政機関職員や私人への謝罪(お手紙)の送付を行う予定。

Labels:

【セキュリティ事件簿#2023-507】北海道銀行 個人情報漏えいに関するお詫びとご報告


この度、北海道銀行(以下、当行)におきまして、下記の個人情報漏えいが発生しました。

お客さまにおかれましては、多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

お客さま情報の厳重な管理を求められる金融機関といたしまして、今回の事態を重く受け止め、情報管理につきましては、役職員に対し教育を徹底し再発防止に努めてまいります。

 1.事案の概要

2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。

同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。

2.漏えいした個人情報

(1)2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」の決済口座を当行に登録されているご利用者のカタカナ氏名・ご利用金額・ご利用日時等(210 名)。

(2)2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」が利用された店舗(加盟店)運営者である個人事業主の漢字氏名(2 名)。

※氏名以外の個人を識別できる情報(住所、電話番号、口座番号、預金残高等)は含まれておりません。

3.発生原因

当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。

4.再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知し、電子メールの運用ルールを徹底させ再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-014】愛媛県 県ホームページ内の電子行政サービス「オープンデータ」における 個人情報流出について


1 概要

県ホームページ内の電子行政サービス「オープンデータ」で、指定障害児通所支援事業所等一覧表をエクセルファイルで公開していますが、令和 5 年 12 月 21 日に一覧表を更新した際、誤って個人情報が含まれた作業用のファイルを添付して公開していました。

令和 6 年 1 月 11 日、障がい福祉課に対し、外部の方から、個人情報が記載されたデータが公開されているとの通報があり、状況を確認したところ、誤ったファイルが公開されていたことが確認されたことから、即時に公開データを削除しました。

誤って公開されていた状況は次のとおりです。 
  • 期間
     令和 5 年 12 月 21 日(木)~令和 6 年 1 月 11 日(木)
  •  内容
     公表データを作成するための作業用データで、公表すべき障害児通所支援事業所名や事業所所在地などのほかに、事業所の設置法人代表者と施設管理者の個人住所、及び苦情窓口担当者氏名が記載されたエクセルファイル
  • 事業所数
    延べ508事業所
    ※事業所種別:児童発達支援、放課後等デイサービス、保育所等訪問支援、居宅訪問型児童発達支援、障害児相談支援事業所、障害児入所施設
  • 個人情報件数(実数)
    • 設置法人代表者の個人住所 205件
    • 事業所管理者の個人住所 318件
    • 施設の苦情窓口担当者の氏名 238件 計761件

2 判明した日

令和 6 年 1 月 11 日(木) 

3 判明後の対応等

  • 1月18日付けで、対象者の方々に対し、本事案に関する状況説明及び謝罪の文書を発送しました。
  • 1月18日から、障害児通所事業所等の設置法人に電話連絡し、本事案に関する状況説明及び謝罪を行っています。
  • 現時点において、二次被害は確認されておりません。
  • オープンデータは現在、正しいデータを添付し公開しています。 

4 発生の経緯及び原因

当該サイトの更新について、令和 5 年 12 月 21 日に担当職員がデータを作成し、サイトに掲載するデータを更新する際に、誤って公表ファイルではない作業用ファイルを添付していました。
また、更新作業終了後、オープンデータへの掲載状況確認ができておらず、他職員による確認も行っていなかったことから、誤ったファイルが公開されたままとなっていました。 

5 再発防止策

  • 情報セキュリティポリシーの遵守はもとより、個人情報が含まれるデータを扱う際には細心の注意を払う必要があることを改めて職員に周知し、緊張感を持った業務遂行を徹底します。
  • 作業用ファイルでは個人情報を除いて作業するとともに、作業用ファイルにパスワードを設定する等、公表データ作成の手順を見直します。また、ホームページ更新時は、担当者が公表前にプレビュー機能等を活用して誤りがないか確認するとともに、上位の職員が確認したうえで更新し、更新後も複数職員で確認するよう徹底します。 
Labels:

【セキュリティ事件簿#2024-011】コムテック LINEキャンペーンにおける個人情報漏えいに関するお詫びとお知らせ


平素より格別のお引き立てを賜り、誠にありがとうございます。
このたび、「LINEの友だち追加でプレゼントキャンペーン」において応募者様の個人情報が一部閲覧できる状況にあったことが判明しました。

お客様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。
事態の経緯と弊社の対応につきまして、下記の通りご報告いたします。

1.漏えいが確認された個人情報


件数 184件
対象
11月、12月にデジタルギフト配信済みのお客様 19件
1月にデジタルギフト配信予定のお客様 165件

漏えい情報 氏名、メールアドレス
閲覧可能期間 2023年11月29日(水)~2024年1月12日(金)までの45日間

2.原因


応募者様へデジタルギフトを送る配信登録作業時のミスにより、システム内で一部間違ったデータに書き換えが生じたことによって発生しておりました。

3.経緯について


2024年1月5日に11月応募者様から登録した情報が異なっている旨をご連絡いただき、キャンペーンで使用しているクラウドシステムを調査いたしました。ご連絡いただいたお客様の個人情報が異なっており、申込画面から他の方(1名)の個人情報(氏名、メールアドレス)が閲覧できることを確認いたしました。

ご連絡いただいた内容から本キャンペーンの全対象者様の情報を調査した結果、
・11月、12月にデジタルギフト配信済みのお客様 19件
・1月にデジタルギフト配信予定のお客様 165件
上記対象者の個人情報(氏名、メールアドレス)が他の方(1名)より閲覧できる状態にあることを確認いたしました。

4.対策について


・応募者様の申込み確認画面を閉鎖いたしました。
・クラウドシステムから対象情報を削除することによって、閲覧できない状態といたしました。

個人情報が漏えいした184名様には別途LINEにて本日より個別にご連絡を申し上げます。
弊社では、今回の事態を重く受け止め、個人情報取り扱い業務における管理体制の厳重化を全関係者へ徹底し、再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-008】横須賀市 電子メールの誤送付について


このたび、契約課において電子メールを誤送付したことを報告します。

1.事故の概要


(1)発生の経緯

令和6年1月16日(火曜日)、かながわ電子入札共同システムの資格申請を勧奨するメールを一斉送信する際に、宛名をBCCで送るべきところをTOで送ってしまい、メールを送信した事業者に、同時にメールを送信した事業者のメールアドレスが見えてしまうこととなりました。同日、メールを送信した職員がメールの送信状況を確認した際、誤送信が判明しました。

(2)漏洩した個人情報

個人の特定につながるおそれのあるメールアドレス。

一斉送信したメールの本文及び添付文書には、会社名や氏名を記載していませんでしたが、漏洩したメールアドレスの中に、個人の特定につながるおそれのあるメールアドレスが含まれていました。

(3)事故に係る個人情報の対象人数

71人

漏洩したメールアドレスは、165件ありましたが、その中で71件が個人の特定につながるおそれのあるメールアドレスでした。

2.事故発生後の対応

令和6年1月17日(水曜日)に、メールを送信した事業者へメールにて事情説明と謝罪、受信メールの削除依頼をしました。併せて1月16日(火曜日)に送信したメールをBCCにより再送信しました。

3.事故の発生原因

複数人による確認不足。

4.今後の防止策

今後は、複数人による確認作業の工程を見直し、誤送付が発生しないよう努めてまいります。

Labels:

【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について


このたび、令和4年度、令和5年度に実施した「ふくしフォトコンテスト2022」「ふくしフォトコンテスト2023」の審査資料について、令和5年12⽉4⽇(⽉)13:00、応募者からの電話により、下記のとおり個⼈情報の漏えいが判明いたしました。

このような事態を招いたことを深く反省し、職員の個⼈情報の適切な取扱いを徹底し、再発防⽌に努めてまいります。

1.漏えい事案の概要

①令和4年度及び令和5年度に実施した「ふくしフォトコンテスト」の審査資料が、インターネット上に流出した。

下記3の審査資料を審査委員に事前送付(データ送信)する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定(限定公開)」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。

②審査委員に事前配布した資料(下記3)に、審査に直接関係のない個⼈情報を掲載していた。

2.主催

 和歌⼭県社会福祉法⼈経営者協議会、和歌⼭県社会福祉法⼈経営⻘年会
 社会福祉法⼈和歌⼭県社会福祉協議会

3.情報漏えいした資料(4点)


4.情報漏えいの原因

■当該システムの機能の誤認識
「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。

■職員の個⼈情報の取扱いに関する認識不⾜
審査委員に対し個⼈情報を掲載した資料を配布していた。

5.対応

  • 漏えいした情報は、本会システム管理業者に連絡し、判明直後(同⽇13:30)に削除しています。
  • 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
  • 再発防⽌策として、当該システム(限定公開機能)を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。
Labels:

【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告


市ホームページ上の農地貸出希望情報の掲載ページ内におきまして、個人情報(氏名、住所、電話番号)を含んだものを誤って掲載してしまっていたことが判明いたしました。

関係者の皆様におかれましては、多大なご迷惑とご心配をおかけすることとなり、心からお詫び申し上げます。

判明の経緯と原因

  • 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
  • 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
  • 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。

個人情報の内容・掲載期間

内容

農地所有者67人分の「氏名、住所、電話番号」

掲載期間

 令和5年10月6日から11月28日まで(54日間)

対応状況

全対象者の方に経過説明を行い、謝罪させていただきました。

二次被害やおそれの有無

現在のところ、悪用されるなどの二次被害の発生は確認されておりませんが、引き続き状況の把握に努めます。本件について何かございましたら農業委員会事務局までご連絡をお願いします。

今後の対応

農業委員会事務局内で複数人でチェックを行い、このような事態が発生しないよう再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-460】東海大学 個人情報を含むリモート個別面談申込情報の誤掲載について


本学学生の保護者を対象とするリモート個別面談の申し込み時にご入力いただいた個人情報が、6日間にわたって教職員以外でも閲覧できる状態にあったことが判明いたしました。なお、現時点では第三者による当該個人情報の悪用等の事実は確認されておりません。

この度の事態により、個人面談を希望し個人情報を入力された保護者の皆様、学生の皆さま、ならびに関係各位におかれましては、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

1. 経緯

2023年10月5日(木)9時30分頃、本学体育学部の教員が、保護者を対象としたリモート個別面談の基本情報が記入されたスプレッドシート(ネットワーク上のファイル)のURLを自身の担当する授業のレポート課題のURLと取り違えて掲載し、授業支援システム「Open LMS」上に公開してしまいました。当該教員は直後に誤掲載に気づきURLを修正したものの、情報の更新を自動的に知らせる通知メールが同システムから当該授業の履修者63名に既に送信されていました。そのメール本文中にスプレッドシートのURLが記載されていたことから、同スプレッドシートがロックされた11日(水)10時までの6日間にわたって、教職員以外でも閲覧・ダウンロードできる状態にありました。

本件は、14日(土)にリモート個別面談の委託企業から、既にロックされているスプレッドシートのURLに教職員以外から不審なアクセスがあった可能性があるとの連絡が入ったことから、聞き取りも含めた詳細な調査を開始し、経緯が判明いたしました。

2. URLの誤掲載で閲覧可能となった個人情報の内容

保護者対象のリモート個別面談を申し込まれた440名の①学生氏名②学生証番号③申込者氏名④申込者メールアドレス⑤申込者電話番号⑥特に面談したい内容⑦面談をしたい具体的事項

3. 対応

2023年10月5日(木)、当該教員が授業支援システム上にプレッドシートのURLを公開した約15分後に誤りに気付き、直ちにシステム上からURLを修正しました。また、6日(金)と17日(火)の2回、履修学生63名に対し、ファイルをダウンロードしている場合は削除するようメールにて通知しました。さらに、19日(木)の授業時間帯に当該教員と管轄部署が改めて履修学生にお詫びと説明を行うと同時に、個人情報保護への協力について要請しました。また、該当者に対し、お詫びと状況説明のための連絡をいたしました。

4. 再発防止に向けた今後の取組

本学では、「東海大学情報セキュリティポリシー」に則り、情報資源や個人情報などの適切な管理に努めてまいりましたが、この度の事態を重く受け止め、教職員への通達や研修等を通じて情報資源の管理徹底と個人情報の取り扱いについて、より一層の意識向上を図り、再発防止に取り組んでまいります。

Labels:
登録: 投稿 (Atom)