ラベル インシデント:2次被害 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:2次被害 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2023-416】西日本電信電話株式会社 お客さま情報の不正流出に関するお詫びとお知らせ 2024/1/26

NTT西日本
 

株式会社NTTマーケティングアクトProCXおよびNTTビジネスソリューションズ株式会社からのお客さま情報漏えいに関し、弊社(西日本電信電話株式会社)のお客さまに関わる情報が含まれていることが判明いたしました。お客さまの情報漏えいといった、決してあってはならないことを起こしてしまい、お客さまに多大なご迷惑とご心配をおかけすることになったことについて、心より深くお詫び申し上げます。

弊社の調査の結果、対象となるお客さまへは、順次、ダイレクトメールにてご連絡させていただきます。ご不安な点やご不明な点がございましたら弊社のお問い合わせ窓口までご連絡ください。

なお、現時点までに、お客さまの情報が不正に利用された等の二次被害は確認されておりませんが、今後、公的機関とも連携し、お客さまの被害が拡大することがないよう努めてまいります。

1. 本件の概要

(1)本件の発生経緯

弊社が2014年4月~2022年3月に実施した新サービスやオプションサービス等をご案内するテレマーケティング業務を委託する過程において、お客さまの情報漏えいが発生いたしました。具体的には、テレマーケティング業務を委託していた株式会社NTTマーケティングアクトProCXが利用しているコンタクトセンタシステムを提供するNTTビジネスソリューションズ株式会社において、同システムの運用保守業務従事者(元派遣社員)が、弊社のお客さま情報を不正に持ち出していたことが判明いたしました。

(2)不正に持ち出されたお客さま情報の内容

氏名/住所/電話番号/生年月日/メールアドレス/サービス種別・回線ID等

(クレジットカード情報および金融機関口座情報等の決済関連情報、各種パスワードは含まれておりません)

2. 再発防止策について

弊社は今回の事案を厳粛に受け止め、同様の事態を再び発生させることがないよう、お客さま情報を取り扱う全業務について、業務委託先を含めて再点検を実施するとともに、個人情報管理体制の一層の強化を図ってまいります。また、弊社の従業員に対しても、これまで以上に情報の取り扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関わる当事者意識の醸成を図ってまいります。

お客さまには多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

3. お客さまへのご連絡について

弊社の調査の結果、本件の対象と特定されたお客さまへは、順次、ダイレクトメールにてご連絡させていただきます。

また、本件に関してご不安な点やご不明な点がございましたら、下記のお問い合わせ窓口までご連絡をお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-030】関東ITソフトウェア健康保険組合 委託事業における個人情報漏えい事案について

 

関東ITソフトウェア健康保険組合(以下「当組合」という。)が健康診断等業務を委託している慈恵医大晴海トリトンクリニック(以下「受託者」という。)において、下記のとおり受託者が健診結果データを他の事業所に誤送付した事案が判明しました。

関係者の皆様にはご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

受託者に対しては、健診結果データの作成・送付に関し、データの取扱いとヒューマンエラーを起こさないシステムの構築及び運用変更後の実効性の確認などの再発防止策を講じるよう指示しており、更なる安全性の確保に努めてまいります。

  1. 令和5年12月8日(金)、同年10月受診分の健診結果データを、受託者がA事業所にCD-Rで送付したところ、当該事業所以外に所属の13社117名の健診結果データが収録されていたことが、令和6年1月5日(金)、受託者より当組合に報告され情報漏えいが判明した。(A事業所から受託者への連絡も同日)

  2. 当該CD-Rについては、A事業所担当者1名、限定された者にて管理され、当該データ及びCD-Rは速やかに破棄されており、個人情報漏えいの二次被害がないことを確認した。

  3. 関東信越厚生局及び個人情報保護委員会に本事案について、当組合より令和6年1月9日(火)報告済みである。

リリース文アーカイブ

【セキュリティ事件簿#2023-500】株式会社丹青社 業務委託先からの個人情報漏洩に関するお詫びとお知らせ


当社がIRニュースメールの配信業務を委託していた外部委託会社のサーバーが不正アクセスを受けたことにより、当社保有の個人情報の一部が漏洩していることが判明しました。関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。既に10月30日付で当社コーポレートウェブサイトにお知らせ「当社からのメールを装ったなりすましメールにご注意ください」を掲載しておりますが、その後の対応と再発防止策について以下のとおりお知らせします。

当社におきましては、今回の事実を厳粛に受け止め、同様の事態が再び発生しないよう、業務委託先の管理監督を含め個人情報管理体制の一層の強化を図ってまいります。

1.経緯

2023年10月30日、当社従業員および取引先が、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」を多数受信しました。同時に警視庁サイバー犯罪対策課から、業務委託先のサーバーが乗っ取られている可能性を指摘され、本事態を把握しました。

同日中に業務委託先のサーバーへのドメイン許可を停止し、当社ドメインからメールが送信されることがないように対処しました。あわせて当社コーポレートウェブサイトのお知らせにて社外への注意喚起を行い、二次被害拡大の防止に取り組みました。
なお、本件については、個人情報保護委員会および一般財団法人日本情報経済社会推進協会へ適時報告を行っております。

2.漏洩した個人情報

(1)個人情報の項目
  当社IRニュースメールに登録されているメールアドレス。
  ※銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
(2)対象者と件数
  株主、投資家、顧客、従業員のメールアドレス641件。

3.発生原因

当社の業務委託先のサーバーに対して第三者からの不正アクセスがあったことが原因と認識しております。

4.二次被害またはそのおそれの有無

漏洩したメールアドレス宛に、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」が複数件送信されたことを確認いたしました。
なお、既にサーバーへのドメイン許可を停止しているため、現在は同事象の発生はありません。

5.再発防止策

当該委託会社への業務委託を2023年11月で停止し、現在は適格性を確認できた新たな委託先へ契約変更しています。
また、従業員への教育や業務委託先の適格性の審査・確認、継続的な管理監督を実施し、当社の個人情報管理体制の一層の強化を図ってまいります。

【セキュリティ事件簿#2023-492】千葉市 委託事業者による個人情報の流出した可能性のある事案の発生について


千葉市が事業を委託する事業者が利用するサービスに、第三者からの不正アクセスがありましたので、お知らせします。

このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。

なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

1 対象事業

(1)委託事業名 令和5年度千葉市特定保健指導(ICT機器活用型)業務委託
(2)委託事業者 株式会社Y4.com

2 事案の概要

12月18日(月)、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報(氏名、住所、電話番号、性別等)が外部に流出したとの報告がありました。

不正アクセスは12月10日(日)に行われ、12月11日(月)に事業者が本事案を確認した。その後、事業者により詳細な調査が開始され、12月15日(金)に本市に第1報を受けました。

なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

〈参考〉特定保健指導(ICT機器活用型)について
40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

3 サービスに記録されていた情報

氏名、住所、電話番号、性別、生年月日、メールアドレス、被保険者番号、健診結果(身長、体重、腹囲、血圧、血液検査記結果、尿検査結果、問診項目) 25人分

4 対応状況等

・12月18日(月)午後、事業者のホームページに本事案を公表しております。
 ※事業者が問い合わせ窓口(電話・メール)を開設しています。
   株式会社Y4.com 個人情報お問い合わせ窓口
   電話番号 092-406-3833(受付時間 10時~17時、土日祝日を除く)
   メール  info@y-4.jp
・同日、市における個人情報の流出可能性事案に関して、個人情報保護委員会に報告しました。
・今後、参加者本人への通知とお詫びを実施する予定です。

【セキュリティ事件簿#2023-492】伊丹市 委託事業者による個人情報の流出事案の発生について

株式会社Y4.com

伊丹市が事業を委託する事業者が利用するシステムに、第三者からの不正アクセスがありましたので、お知らせします。

このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。
なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

1 対象事業

(1)委託事業名 令和5年度伊丹市特定保健指導(ICT機器活用型)業務委託
(2)委託事業者 株式会社Y4.com

2 事案の概要

12月18日(月曜)、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報が外部に流出したとの報告がありました。

不正アクセスは12月10日(日曜)に行われ、12月11日(月曜)に事業者が本事案を確認しました。その後、事業者により詳細な調査が開始され、12月14日(木曜)に本市に流出の可能性があることの第1報を受けました。

なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

〈参考〉特定保健指導(ICT機器活用型)について
40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

3 サービスに記録されていた情報

20人分の氏名、住所、性別、生年月日、被保険者番号、健診結果

4 対応状況等

・12月18日(月曜)午後、事業者のホームページに本事案を公表しております。
※事業者が問い合わせ窓口(電話・メール)を開設しています。
株式会社Y4.com 個人情報お問い合わせ窓口
電話番号 092-406-3833(受付時間 10時~17時、土日祝日を除く)
メール info@y-4.jp

・今回の流出事案に関して、国の個人情報保護委員会に報告しました。

5 本市の対応状況

漏洩が確認された方に対し、市と事業者より、電話連絡等でお詫びと状況報告を実施いたしました。

6 再発防止策

事業者側において、影響を受けたシステムのセキュリティ強化と、パスワードの変更により対応します。今後の調査で、脆弱性が判明した際には、さらなるセキュリティレベルの向上と再発防止策を実施予定です。

【セキュリティ事件簿#2023-469】積水ハウス株式会社 システム開発用クラウドサーバーのセキュリティ設定不備によるお客様情報等の外部漏えいについて


弊社が設計業務システムの開発を委託していた BIPROGY 株式会社(以下「BIPROGY 社」)のセキュリティ設定に不備があり、システム開発用クラウドサーバー(以下「当該サーバー」)より、お客様情報の漏えい及び漏えいしたおそれがあることがわかりましたのでお知らせいたします。お客様をはじめ多くの関係者の皆様にご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。今後は、委託先の情報セキュリティに関する監督強化を行うとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。

【経緯及び状況】

  • 当該サーバーには、弊社から提供したお客様情報等が存在していましたが、11 月 6 日、外部からの不審なアクセスが検知されたため、当該サーバーを停止し、調査を開始しました。
  • 調査の結果、BIPROGY 社のセキュリティ設定の不備により、当該サーバーにおいて、11 月 10 日にお客様情報等の漏えい及び漏えいしたおそれがあることを確認しました。
  • お客様情報等の不正利用は現在確認されておりませんが、漏えいの有無も含め、IPROGY 社と共に引き続き調査を行います。
  • 当該サーバーは独立したものであり、弊社におけるその他のシステムに影響はありません。
  • 本件に関しては、弊社より個人情報保護委員会に報告を行っております。
【漏えいが確認されたお客様情報等】
対象範囲 : 2023 年に弊社が取得したお客様情報等
項目 : 
お客様の氏名、建築地住所及び図面 2 件
当該物件を担当した弊社従業員氏名 12 件

【漏えいしたおそれのあるお客様情報等】
対象範囲 : 2001 年から 2023 年の間に弊社が取得したお客様情報等
項目 : 
お客様の氏名及び建築地住所 11,707 件
お客様の氏名のみ 15,682 件
当該物件を担当した弊社従業員氏名 7,184 件

【お客様への対応】

  • 漏えいが確認されたお客様には弊社より連絡をさせていただきました。
  • 漏えいしたおそれのあるお客様につきましては、順次郵送やメール等で弊社よりご連絡をさせていただきます。そのため、ご連絡までにお時間を頂く可能性がございますが、何卒ご容赦くださいますようお願いいたします。
  • 漏えいが確認された及び漏えいしたおそれのある弊社従業員(退職者も含む)に対しても、順次郵送やメール等で弊社より連絡を行います。

【セキュリティ事件簿#2023-383】名古屋芸術大学 学生の個人情報の漏洩の可能性に関するお詫びとお知らせ


学生、教職員の皆様

この度、株式会社ECC(以下、ECCという。)より、名古屋芸術大学が入学前英語テスト他、英検オンラインプラクティスにおいて利用しているECCの学習支援システムサーバーへの外部からの不正アクセスが確認され、個人情報が漏洩した可能性を排除できないことが判明したとの報告がありました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、今回の事態により関係各位に対して多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申しあげます。

1. 本件の経緯


令和5年9月19日(火)にECCから、本学が英検オンラインプラクティスにおいて利用しているサーバーへの不正アクセスを9月12日(火)に確認した旨の通報がありました。その後のECCの調査により、令和5年5月16日(火)以降、複数回の不正アクセスがあり、今年度の英検オンラインプラクティス受講対象者の情報が漏洩した可能性のあることが判明しました。

2. 漏洩の可能性のある個人情報


(1)対象件数:在籍学生586人分

(2)対象項目:①氏名、②大学名、③学籍番号、④受験番号、⑤暗号化済みパスワード※、⑥英検オンラインプラクティス受講情報(受講者のみ)

※ 生年月日を暗号化したデータで、生年月日が流出することはありません。

3. 本件の対応窓口及び調査結果について


ECCからの報告とその後の調査を受け、令和5年10月13日(金)に該当学生に対し、上記2-(2)の個人情報が漏洩した可能性に関するお知らせとお詫びについて配信するとともに、対応窓口として連絡先メールアドレスの指定と、対面での相談機会を設定するなどして調査を開始しました。

そして調査の結果、個人情報を悪用された事実は確認されませんでした。


4. 再発防止策について


ECCにおいて、通信制限などセキュリティ強化を実施し、不正アクセスに用いられたアカウントのID/パスワードにつきましても強固なものに変更するなど再発防止策をすでに講じています。

本学では、今回の事態を重く受け止め、委託先の業者も含め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めてまいります。

【セキュリティ事件簿#2023-466】JCOM 株式会社 お客さまの個人情報漏えいに関するお知らせとお詫び

当社がメッシュWi-Fi(高機能Wi-Fi含む:以下メッシュWi-Fi)を提供するお客さま、および当社がメッシュWi-Fiを提供するケーブルテレビ事業者様のお客さま情報の一部が、漏えいしたことが確認されました。

お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
本件の対象となるお客さまに対しては、準備が整い次第順次お知らせいたします。

1.概要


メッシュWi-Fiの提供元である、米国Plume Design社の提携先のモバイルアプリのアクセスログサーバに対して、外部からの不正アクセスがあり、当社ならびにケーブルテレビ事業者様の一部のお客さまの個人情報が漏洩したもの。

2.発覚の経緯


本事態を、Plume社販売代理店経由で2023年11月21日に報告を受けたことで判明。

3.お客さま情報の件数と内容

①J:COMのメッシュWi-Fiアプリをご利用されたことがある一部のお客さま:226,832件

・お客さまの氏名

②ケーブルテレビ事業者様のメッシュWi-Fiをご利用されたことがある一部のお客さま:5,109件

・お客さまの氏名

・メールアドレス

4.お客さまへの対応について


今後新たな事実が判明した場合には、当社ホームページにてお知らせいたします。

【セキュリティ事件簿#2023-318】独立行政法人日本学術振興会 不正アクセスによる個人情報漏えいのお詫びとご報告

今般、独立行政法人日本学術振興会が民間事業者提供のファイル転送サービスとして利用していたサービス(Proself)が何者かに不正アクセスされ、「Proself」に保存されている国内外の関係者の個人情報が、外部に漏えいしたことが判明いたしました。

関係者の皆様にご迷惑とご心配をおかけいたしますこと深くお詫び申し上げます。 

経緯

令和 5 年 10 月 5 日に上記民間事業者より Proself に脆弱性があるとの連絡がございました。それに基づいて、サービス開発業者に対し、調査を依頼いたしましたところ、令和 5 年 10月 25 日に調査結果の報告があり、一部ファイルが何者かに取得されたことが明らかになりました。

この報告によると、不正アクセスは令和 5 年 8 月 29 日~令和 5 年 9 月 20 日に行われ、Proself に保存されていたファイルの一部が取得されたことが判明いたしました。取得されたファイルを本会にて確認したところ、個人情報が含まれていたことを令和 5 年 10 月 26 日に確認いたしました。 

原因

サービス開発業者から、未知の脆弱性であった XXE 脆弱性(特殊な命令を送信することによって、本来表示されないファイルの内容を見ることができる脆弱性)を用いたサーバー内ファイル取得を目的とした不正アクセスであったとの報告を受けております。 

現在の対応

脆弱性が解消された Proself にアップデートし、既知の脆弱性に基づく攻撃の被害発生を防止しました。また、未知の脆弱性に基づく攻撃に対しても、ファイルの暗号化の強化等、運用管理方法を見直し、これらに基づいて本会情報セキュリティポリシーの改定を行い、周知徹底を図りました。

また、個人情報保護委員会にも報告し、警察にも相談しています。 

漏えいした個人情報

 現在、以下の情報を確認しております。
  • 海外との研究者交流事業の関係者 391 名
     氏名、所属先、役職、略歴、連絡先(メールアドレスを一部含む。)、活動計画、推薦理由等
  • 国内外の学術振興に係る行事・会議の参加者 569 名
    氏名、所属先、役職、略歴等
  • 本会役職員の氏名、メールアドレス等 312 名 

関係者の対応

現在、個人情報漏えいの可能性のある関係者の皆様を対象に、メールなどを通じて、別途その旨ご連絡しております。

今後の対策

情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、さらなるセキュリティ強化を図ることとしています。

このたびは、関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。 

【セキュリティ事件簿#2023-462】大阪府 個人情報の流出について


農政室推進課において、受託事業者である一般社団法人大阪府農業会議(以下「受託事業者」という。)に委託し実施したアンケート調査支援業務について、アンケートの回答者が回答後に自身の回答内容をウェブで閲覧した際、別の回答者の回答内容が閲覧できる状態にあったという事案が発生しました。

このような事態を招きましたことを深くお詫び申し上げるとともに、今後、再発防止に取り組んでまいります。
 

1.流出した情報

 ・農地所有者氏名、筆数、地番、地目、面積、アンケート回答内容 1名分
 ・農地所有者氏名、筆数、地番、地目、面積 13名分
 

2.アンケート調査の方法


当該アンケート調査は、受託事業者が府内市町村の農業委員会(※)に調査フォームを提供し、各委員会が紙媒体もしくはウェブで回答を回収している。

(※)農地法に基づく売買・貸借の許可、農地転用案件への意見具申、遊休農地の調査・指導などを中心に農地に関する事務を執行する行政委員会として各市町村に設置。

3.事案の経緯

○令和5年5月
  • 千早赤阪村農業委員会がアンケート調査を実施した。
○令和5年10月13日(金曜日) 
  • 柏原市農業委員会がアンケート調査を実施した。
○令和5年11月2日(木曜日)
  • ウェブで回答した柏原市のアンケート回答者から柏原市農業委員会へ、ウェブ上で回答内容を確認したところ、別の回答者の回答が表示されるとの連絡があった。
  • 柏原市農業委員会職員が無作為に選んだ柏原市の回答者の回答結果閲覧画面を確認したところ、別の回答者の回答内容が表示されたため、柏原市農業委員会職員が受託事業者へ連絡した。
  • 受託事業者がアンケート回答フォームを作成した業者(以下「業者」という。)に連絡し、原因調査及びシステムの不具合の解消を指示した。
  • 業者がシステムを確認したところ、柏原市の回答結果閲覧画面を開くと、千早赤阪村の回答結果が表示されることが判明した。
  • 業者がシステムの不具合を解消し、受託事業者へ連絡した。

〇令和5年11月6日(月曜日) 
  • 受託事業者が府へ本事案を報告し、府は個人情報の流出件数の精査等を指示した。
〇令和5年11月6日(月曜日)以降
  • 受託事業者が個人情報の漏洩した千早赤阪村の回答者へ経緯説明及び謝罪を行った。

4.原因

  • 業者が回答フォームを作成した際、柏原市のウェブ回答者の回答結果閲覧画面のURLが、誤って千早赤阪村の回答結果閲覧画面のURLとなっていた。また、受託事業者及び業者において動作確認を行っていなかった。

5.再発防止策

  • 府から受託事業者に対し、今後回答フォームを作成する際にはチェックシートを作成し、業者と受託事業者の双方において、複数人での回答フォームの動作確認を徹底するよう指示した。

【セキュリティ事件簿#2023-416】橿原市 委託先における個人情報の不正流出の可能性に関するおわびとお知らせ

 

株式会社NTTマーケティングアクトProCX(以下、「委託先」といいます)において、同社が利用するコールセンターシステムを提供するNTTビジネスソリューションズ株式会社の運用保守業務従事者(以下、「元社員」といいます)が、個人情報を不正に持ち出し、第三者に流出させた可能性があることが判明いたしました。

この不正に持ち出された個人情報の中に、過去に本市が国民健康保険特定健康診査受診勧奨電話業務を委託先に委託していたときの情報が含まれていることが判明いたしました。

今回、委託先がこのような事態を発生させ、市民の皆様へ多大なご迷惑とご心配をおかけしますこと、深くおわび申し上げます。また、今回の事態を重く受け止め、委託事業における個人情報の適切な取り扱いを徹底するよう指導し、再発防止に努めてまいります。

不正に持ち出された個人情報について

​​​​​​平成25年度および平成26年度に40歳以上の国保被保険者への特定健康診査受診勧奨電話業務を委託した約4,000件

  • 勧奨対象者名
  • 世帯主名
  • 住所
  • 年齢
  • 性別
  • 電話番号

※口座情報は含まれていません。

現時点において、元社員から別の第三者に流出したことは確認されておりません。

対象の方へのお知らせについて

現在、対象となった方の確認作業を進めております。対象となった方には個別に郵便でお知らせをさせていただきます。

お知らせの準備が整い次第、こちらのページでもお知らせいたしますので、しばらくお待ちください。

リリース文アーカイブ

【セキュリティ事件簿#2023-416】日本学生支援機構 委託事業者における個人情報の漏洩事案の発生について


独立行政法人日本学生支援機構は、奨学金相談センターの設置及び運営業務を株式会社NTTマーケティングアクトProCX(以下「委託事業者」という。)に委託していますが、今般、委託事業者がセンター運営に当たり利用するコールセンターシステムの保守事業者(NTTビジネスソリューションズ株式会社)の運用保守業務従事者(当時)1名が、同システム内の個人情報を不正に取得して持ち出す事案が発生しました。

持ち出された個人情報が第三者に流出された事実は、現時点では確認されておりません。

現時点において委託事業者から報告を受けている内容について、下記のとおりお知らせいたします。

1.不正に取得された個人情報

平成30年(2018年)3月19日以前に奨学金相談センターに問い合わせをした方の個人情報(氏名、電話番号、郵便番号、住所、生年月日)のうち、約5万件

 ※上記事項以外の個人情報の持ち出しは、現時点では確認されておりません。

 ※当該情報の内容等について、更なる特定作業を進めています。

2.不正に取得された時期

平成28年(2016年)3月17日、平成30年(2018年)3月19日

3.本件に係る対応状況

令和5年(2023年)10月12日(木曜日)委託事業者より本機構に事案概要の報告

令和5年(2023年)10月16日(月曜日)本機構より個人情報保護委員会に報告

令和5年(2023年)10月17日(火曜日)委託事業者等による報道発表及び記者会見

リリース文アーカイブ

【セキュリティ事件簿#2023-437】三重県 委託事業におけるイベント申込者の個人情報の誤掲載について


大都市圏向け観光プロモーション事業の一環として実施予定のユーチューバートークイベントにおいて、委託事業者(株式会社ジェイアール東海エージェンシー)が制作した参加申込みフォーム入力後に、既に申込済みであった方の個人情報(氏名、連絡用電話番号)が誤って掲載されていたページを閲覧できる状態になっていたことが判明しました。

1 報告内容

(1)経緯
10月27日(金)  

午後3時04分 
イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開 

午後5時44分 
イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識

午後5時46分 
県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示

午後6時27分 
他の申込者の情報が掲載されたページを非公開に設定(※非公開設定時点で、申込者は66名)

(2)原因

委託事業者内で申込フォームのページを制作した際、他の情報が見られるような設定項目のチェックを外して確認していたにもかかわらず、公開時点で人為的ミスによりチェック項目にチェックが入った状態で公開していたことにより発生したものです。

2 今後の対応方針

委託事業者に対し、再発防止策について報告を求めるとともに、各申込者あてに謝罪を行うよう指示しました。

【セキュリティ事件簿#2023-436】国立環境研究所が運用するオンラインストレージサービス(Proself)への不正アクセスについて


国立環境研究所がファイル転送サービスとして利用していたオンラインストレージサービス(Proself)について不正アクセスがあり、サーバ内に保管していた個人情報を含むデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかったProselfの脆弱性(ゼロデイ脆弱性)を突いたサイバー攻撃によるものとなります。

国立環境研究所における本事案の経緯及び講じた措置は以下のとおりです。

10月5日 Proselfへの不正アクセスの痕跡を発見。同日に対象サーバを運用停止。
10月10日 調査により、脆弱性を悪用してアカウントの一覧やパスワードハッシュを窃取し、その情報をもとに不正ログインが行われ、一部のファイルへアクセスが行われたことが確認された。(同日、個人情報保護委員会に報告)。

実際に不正アクセスが行われた期間は、9月15日~9月28日までの間で、個人情報を含むデータの一部が外部に漏えいした可能性があります。現在漏えいが判明している個人情報は、当研究所職員の健診受診者名簿、外部機関等を含む各種委員会等の名簿、研究所Webサイトからのデータダウンロードサービスをご利用の際にご登録いただいたメールアドレス等が含まれていることが判明しております。

引き続き、詳細調査を継続しておりますが、並行して、漏えいした可能性のあることが判明した方に対して順次、個別の通知を進めているところです。関係者の皆様には、ご迷惑をおかけすることとなり、お詫び申し上げます。

なお、現時点で、個人情報の悪用等の被害は確認されていません。

国立環境研究所では、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。 

【セキュリティ事件簿#2023-433】佐賀県 イベント申込者の情報を他の申込者が閲覧できる状態になっていました


「介護の日記念事業」に関する事業を受託している株式会社佐賀新聞サービス(以下、「受託事業者」という。)において、インターネットによるイベント申し込み設定にミスがあり、イベント申込者の個人情報を他の申込者が閲覧できる状態になっていた事案がありました。

事案の概要は下記のとおりです。同様の事案が生じないよう再発防止に取り組みます。

1 事案の概要及び対応

インターネットからイベントの参加申し込みを行った際、申し込み完了画面に表示されるリンクを開くと、先に申し込みした方の情報を見ることができる状態となっており、申込者3名の方が当該リンクを開き、先の申込者の個人情報を目にされていた。

申込者に対しては、受託事業者から概要の説明及び謝罪が行われました。

(1)覚知日 令和5年10月20日(金曜日)

(2)リンク先に掲載されていた個人情報(17組29名分)

  ・代表者の氏名、年齢、住所、電話番号、メールアドレス

  ・同行者の氏名


2 再発防止策

個人情報を取り扱うフォームの公開に際しては制作・テスト・公開の各段階において、必ず2人以上で確認を行い、公開後も随時確認を行うこととし、その周知徹底を図ります。

また、受託事業者における個人情報の管理に係る監督を改めて徹底します。

【セキュリティ事件簿#2023-416】沖縄県 NTTビジネスソリューションズ元派遣社員による個人情報の不正流出について

1 概要 

沖縄県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCXにおいて、同社が利用するコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社の元派遣社員が、不正に個人情報を持ち出し流出させていたことが、NTTビジネスソリューションズ株式会社等からの報告により判明しました。

現時点(令和5年10月18日)では、沖縄県分の個人情報については、第三者への流出は確認できておりませんが、県民の皆様には、不審な電話や訪問者等にご注意くださるようお願いいたします。

2 漏えいした可能性のある個人情報

自動車税に関する平成25、26年度の納税者情報 約6.5万人分※

対象となる納税者情報:氏名、住所、電話番号、生年月日

※ 人数については、NTTマーケティングアクトProCX社等の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

3 対応

  1. 個人情報保護委員会への報告及び本人への通知

  2. NTTマーケティングアクトProCX社等が設置する問い合わせ窓口の周知(下記、4 相談窓口 参照。)

  3. 県税務課等での問い合わせ対応

  4. 県税情報を扱う委託業者への事案共有及び個人情報の管理体制の点検

リリース文アーカイブ

【セキュリティ事件簿#2023-418】三重県 県立高校における個人情報の漏洩のおそれのある事案の判明について

 

カシオ計算機株式会社の提供するICT教育アプリへの不正アクセスにより、同アプリに登録されている個人情報が漏洩した事案について、事業者より、本県の県立学校等の生徒・教員が含まれているおそれがあるとの報告がありました。10月23日時点で判明している内容は下記のとおりです。

1 本県における対象件数

 県立高校29校・県教育委員会事務局の氏名4,142件、メールアドレス1,134件

2 ICT教育アプリ

 カシオ計算機株式会社

 ICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」

※不正アクセスがあったのは開発環境で、システム停止など利用者への直接の影響はなかったと事業者より報告を受けています。

3 今後の対応等

・事業者に対して、引き続き漏洩状況の調査を行うとともに、調査結果の報告を求めています。

・個人情報の漏洩の可能性のある県立高校では、生徒に状況を伝えるとともに、不審なメールが届いた場合には、学校に連絡するように周知します。

・現時点では県立高校から被害等の報告はありません。

(参考)事業者の公表内容

 10月18日 カシオ計算機株式会社

 「不正アクセスによる個人情報漏えいのお詫びとご報告」

・対象件数

 <国内>個人と1,108の教育機関の計91,921件

 <海外>148の国と地域のお客様の計35,049件

・漏洩したおそれのある項目

 1.氏名 2.メールアドレス 3.国/地域 4.学校名・学年・学級名・出席番号(学籍番号)

 5.購買に関する情報( 注文明細 、決済手段、ライセンスコードなど)

   ※クレジットカード情報は含まれない

 6.本サービスの利用履歴やニックネームなど

リリース文アーカイブ

【セキュリティ事件簿#2023-418】埼玉県 カシオ計算機株式会社のシステムへの不正アクセスによる県立高校への影響について

 

カシオ計算機株式会社のICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)*」のシステムへの不正アクセスにより、登録されている一部の個人情報が、外部に漏えいしたとの報告があったので県立高校への影響についてお知らせします。

1 事案の概要

カシオ計算機株式会社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果データベースに含まれていた国内外の一部の顧客の個人情報が漏えいしたもの。

 https://www.casio.co.jp/release/2023/1018-incident/

2 県立学校への影響

カシオ計算機株式会社から報告のあった対象高校・人数と漏えいした可能性のある個人情報

(1)対象高校・人数

県立高校8校 対象人数1,936人

(内訳) 

三郷高等学校              329人

草加西高等学校           270人

松山高等学校               414人

坂戸高等学校               382人

日高高等学校               205人

新座柳瀬高等学校        160人

川口北高等学校            110人

伊奈学園総合高等学校   66人


(2)漏えいした可能性のある個人情報

氏名、メールアドレス、学校名、学年、学級名、出席番号

なお、現在のところ、第三者による不正使用等の被害の発生は確認されていない。

3 県の対応

対象となった8校においては、本日付けで生徒・保護者あてに当該アプリのサービスを利用するためのログインIDにかかるパスワードを変更するなどの注意喚起を行うとともに、併せて、全県立学校に対して当該事案の周知を行った。

カシオ計算機株式会社に対し、漏えいした個人情報の詳細の報告を求めた。

※ カシオ計算機株式会社の対応窓口

お客様情報相談窓口:0120-302346

 (フリーダイヤル、受付時間:平日 9時00分~17時30分)

カシオホームページ窓口: https://www.casio.com/jp/information/1018-incident/

 *「ClassPad.net」のアプリとは、タブレット端末やパソコンから参考書などを利用できるサービスで、辞書機能や数学ツール機能等がある。


リリース文アーカイブ

【セキュリティ事件簿#2023-416】森永乳業株式会社 お客さま情報の不正持ち出しに関するお詫びとお知らせ


森永乳業株式会社が過去に牛乳宅配サービスのテレマーケティング業務を委託していた株式会社NTTマーケティングアクトProCX(以下、「NTT-MA社」)において、同社が利用するコンタクトセンタシステムを提供するNTTビジネスソリューションズ株式会社(以下、「NTT-BS社」)の同システムの運用保守業務従事者(元派遣社員)が、お客さま情報を不正に持ち出したことが分かりました。

なお現段階では、第三者に流出した事実は確認されておりません。

このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

1.本件の概要

NTT-MA社が利用するコンタクトセンタシステムを提供するNTT-BS社の同システムの運用保守業務従事者が、お客さま情報を不正に持ち出しました。
当社は一部の森永牛乳販売店より業務委託を受け、NTT-MA社に電話による牛乳宅配サービスの紹介業務を委託していました。
NTT-MA社およびNTT-BS社より、2023年10月16日にお客さま情報の不正持ち出しについて報告を受けて判明しました。

(1)不正に持ち出された件数
   お客さま情報:約34万件(現時点判明分)
※2016年3月9日までに牛乳宅配サービスのテレマーケティング業務を委託したお客さま情報
※現段階では、第三者に流出した事実は確認されておりません。

(2)持ち出されたお客さま情報の内容
   氏名、電話番号、郵便番号、住所、等
※クレジットカード情報及び金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

2.今後の対応と再発防止策について
  今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて対応してまいります。
  現在、NTT-MA社への業務委託は行っておりませんが、同様の事態が再び発生しないよう、今後、業務委託先を含め個人情報管理体制の強化を進めてまいります。

3.お客さまへのご対応について
  本件に関しましては、継続して調査をいたします。
  今後新たな事実が判明いたしましたら、その結果を踏まえ、適切な対応を進めてまいります。

【セキュリティ事件簿#2023-416】株式会社山田養蜂場 業務委託先企業の元派遣社員による お客様情報の不正流出についてのお詫び


弊社がテレマーケティング業務の一部を委託しております、株式会社 NTT マーケティングアクト ProCX(本社:大阪市 以下、NTT マーケティングアクト ProCX)から、同社が再委託先として利用していたシステム運用会社 NTT ビジネスソリューションズ株式会社(本社:大阪市)の派遣社員が、2013 年 7 月から2023 年 1 月にわたり、個人情報を不正に取得して漏洩し、システム運用会社に警察の捜査が入ったとの報告を受けました。

<対象となる情報の内容と件数>

(1)不正に持ち出された可能性がある情報:

弊社お客様の ①氏名 ②住所 ③電話番号 ④生年月日 ⑤性別、の5つの情報

※クレジットカードやマイナンバーなどの、直ちに経済的被害につながる情報流出はございません。

(2)不正に持ち出された可能性がある情報の件数と期間:

2016 年 2 月~2023 年1月の期間に約 400 万件の漏洩と報告を受けておりますが、現在、詳細情報を確認中です。 

現在、情報漏洩の恐れがあるお客様の特定作業を鋭意続けており、対象となるお客様が特定でき次第、個別にご連絡をいたします。今回の事態を重く受け止め、再びこのようなことがないよう、委託先の管理を含め、より一層の管理体制の強化に努め、真摯に対応してまいります。何卒ご理解のほど、謹んでお願い申し上げます。