「Out of KidZania in こおりやま 2024 事業」(※)において、運営業務を委託している株式会社東北博報堂福島支社(以下「東北博報堂」という。)の再委託先である、株式会社エクシードコネクト(以下「エクシードコネクト」という。)のサーバーがランサムウェアの被害を受けたことに伴い、エクシードコネクトがサーバー内を調査した結果、本事業に係る個人情報が保管されていたことが判明しました。
1 判明した経緯
11 月 28 日(木)エクシードコネクトが自社サーバーへの不正アクセスを覚知外部専門機関による調査によりランサムウェアの被害を確認
11 月 29 日(金)から随時エクシードコネクト及び外部専門機関による情報確認、方向性確認作業
12 月 2日(月)エクシードコネクトから本事案について東北博報堂に報告
12 月 3日(火)エクシードコネクトから本事案について個人情報保護委員会に報告
12 月 4日(水)個人情報保護委員会から本事案についてエクシードコネクトに指導の連絡
12 月 5日(木)東北博報堂から本事案について本市に報告
2 サーバー内に保管されていた情報
「Out of KidZania in こおりやま 2024 事業」参加申込者の情報:1,513 件(参加申込者氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス)
※クレジットカード情報は含まれておりません。
3 対応状況
エクシードコネクトにおいて、不正アクセスを確認後、対象サーバーのネットワークへの外部からの経路は速やかに遮断し、それ以降、外部からアクセスできないよう対策を講じたとのことであり、現在、外部の専門機関の協力を得て調査を進めているところです。
12 月9日(月)正午時点で、外部への情報流出の痕跡や情報が不正利用された事実は確認されておりません。
リストに掲載されている皆様には、本日 12 月9日(月)に、事案の報告及びお詫びの文書を発送しました。
4 今後の対応
委託事業者から引き続き状況報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。改めて判明した事実は、市ウェブサイトなどでお知らせします。
なお、本業務のうち個人情報の管理業務につきましては、再委託先事業者を変更するなど管理体制を見直し、情報セキュリティの更なる安全性の確保を図っていきます。
