【セキュリティ事件簿#2023-365】富山県 県委託業務受託者のホームページへの不正アクセスによる情報漏洩について 2023年9月15日

 

県委託業務の受託者ホームページのサーバーシステムが不正アクセスを受けたことにより、県の委託業務により事業者が取得した個人情報が漏洩する事案が発生しましたので、お知らせします。

1.内容

県の「まちのなりわい継業モデル事業」（令和3年度～令和5年度）及び「商店街プロフェッショナル体験モデル事業」（平成29年度～平成30年度）の委託事業者（株式会社仕事旅行社）のホームページのサーバーシステムに不正アクセスがあり、サーバーシステムに保存されている情報が不正に取得された。

不正に取得された情報には、県の上記委託業務により事業者が取得した個人情報（氏名、生年月日、性別、職業、学校名、住所、電話番号、メールアドレス）が、44人分含まれていた。

2.委託事業者における経緯

令和5年9月4日

委託事業者の関係者より、委託事業者から不審なメールが届いている旨の連絡があり、サーバーへの不正アクセスの疑惑が浮上。

令和5年9月5日

個人情報および一部の企業情報の流出を確認。

専門の弁護士、管轄の警察署及び警視庁サイバー犯罪対策課に通報。

ホームページに虚偽情報への注意喚起文を掲載。

委託事業者に関する虚偽情報についての注意喚起を対象者へメールで連絡。

令和5年9月6日

個人情報および一部の企業情報の流出について公表。

不正アクセスと今後の対応について対象者へメールで連絡。

令和5年9月8日

不正アクセスに関する続報を公表し、管轄の警察署及び警視庁サイバー犯罪対策課へ情報を共有。

不正アクセスの続報について対象者へメールで連絡。

令和5年9月11日

セキュリティ専門企業へ原因究明調査を打診。

3.県の対応

委託事業者へ、随時、対応状況等を確認。引き続き、原因究明や二次被害防止等の対応を依頼。

「まちのなりわい継業モデル事業」の参加者募集について、委託事業者ホームページとは別のシステムを利用し、安全性を確保したうえで再開予定。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-215】大塚商会 コクヨ株式会社が保有する弊社のお客様情報漏えいの可能性に関するお知らせとお詫び 2023年9月19日

このたび、弊社の取扱商品のメーカーであるコクヨ株式会社（本社：大阪市東成区、代表取締役社長：黒田 英邦）において発生した一部情報システムに対する外部攻撃に関する調査結果の報告を受けました。コクヨ株式会社の保有する情報の一部が外部に漏えいした可能性が否定できない状況であり、その中に弊社のお客様情報も含まれているとの報告がありましたのでお知らせいたします。

ご関係のお客様および販売店には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1．経緯

2023年6月5日に、コクヨ株式会社にて、ランサムウェアによる外部攻撃を受けたことを確認。コクヨ株式会社が外部調査機関による調査を実施し、その報告書によると、データが外部へ漏えいした可能性は極めて低いものの、漏えいの可能性を完全に否定することが困難な状況となっているとのこと、コクヨ株式会社が不正アクセスを受けた事実、弊社のお客様情報が漏えいした可能性を否定できないとの報告を受領しました。

2．漏えいした可能性があるお客様情報

対象者	2016年1月5日～2023年6月5日の期間中に弊社および弊社の販売店から、 コクヨ株式会社の商品（オフィス家具等のメーカー直送品）をご注文されたお客様
件数	29,878件（内、販売店経由5,556件）
情報	お客様お届け先担当者の氏名、会社名、住所、電話番号

• ＊ 弊社からコクヨ株式会社に個人情報の取り扱いを委託している情報は上記項目のみです。

3．対応について

個人情報が漏えいした可能性があるお客様および販売店には、個別にご連絡させていただきます。

2023年8月10日に個人情報保護委員会およびプライバシーマーク審査機関に報告をいたしました。

弊社では、個人情報取り扱い業務における管理体制の厳重化を行うことに加え、個人情報委託先に安全管理措置の徹底を依頼するなどして、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-324】ホテル京阪 淀屋橋 不正アクセスについてのお詫びとお知らせ 2023年8月10日

今般、ホテル京阪 淀屋橋におきまして、利用するBooking.com社（本社：オランダ、アムステルダム）の宿泊予約情報管理システムが不正アクセスを受け、同社経由で当ホテルをご予約いただきました一部のお客さまに対し、フィッシングサイト（不正な手法を用いて個人情報や経済的価値のある情報を搾取する偽のＷＥＢサイト）へ誘導するメッセージが配信されたことを確認いたしました。

現在のところ、お客さまの個人情報の流出については確認が取れておらず、詳細につきましても調査中でございますが、お客さまには多大なるご迷惑とご心配をおかけしておりますこと、深くお詫びを申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信された場合、貼付されたＵＲＬリンクへアクセスされませんよう、お願い申し上げます。

不正アクセスの原因等につきましては、当社および関係機関において現在も調査中でございます。引き続き原因調査を進め、必要な対策を講じることで再発防止に万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-322】帝京平成大学 キャリアカウンセリングにおける個人情報の不適切な取り扱いに関わるお詫びならびにご報告 2023年8月18日

去る2023年8月7日にホームページにて公表のとおり、本学がキャリアカウンセリングを委託する株式会社東京海上日動キャリアサービス（以下、「TCS」）において個人情報管理における不適切な取り扱いが発覚し、調査と対応を進めております。

皆様に多大なご心配、ご迷惑をおかけしておりますことを心からお詫び申し上げます。今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

本件に関わる事実関係等につきまして、以下の通りご報告いたします。

1．本件に関わる事実関係

本学千葉キャンパス就職支援室にて学生のキャリアカウンセリングを実施するTCSのキャリアカウンセラー1名が、キャリアカウンセリング面談時の手書きメモの一部を自宅へ持ち帰り、手書きメモの裏面を再利用して自宅外に持ち出したものを飲食店に遺失しました。これを拾得された第三者から、2023年8月3日に本学へご連絡を頂いたことにより判明したものです。

このことを受け、本学およびTCSにて、実際に外部流出した手書きメモおよび流出の可能性のある手書きメモを特定し、漏えいを確認された方、漏えいした可能性のある方への書面でのご連絡を2023年8月17日より順次行っております。 

なお本学、TCSそれぞれで本件につき個人情報保護委員会へ報告をしております。

2．調査結果の概要

本学千葉キャンパスにおいて、当該キャリアカウンセラーによるキャリアカウンセリングは、2018年4月19日から2023年7月20日までの期間行われ、面談者の一部の手書きメモが外部に持ち出されたこと、もしくは持ち出された可能性があることが確認されました。なお、当該キャリアカウンセラーによるキャリアカウンセリングは、2023年7月20日をもって終了しております。

（1）個人情報の概要（注1）

• 氏名（の一部）、学籍番号（の一部）、携帯電話番号等の情報
• キャリアカウンセリング面談日、志望先、採用面接の状況、応募シートの添削内容等のキャリアカウンセリングに関わる情報

（2）対象者数

• 外部に持ち出され、実際に第三者が取得したことが確認されたもの：12名
• 2023年8月17日までの時点で本学において手書きメモの現物が確認できないもの：807名（注２）

（注１）面談によって記載のなかった情報もあります。

（注２）これには手書きメモをとっていない面談も含まれます。

現時点では、第三者に取得された情報を悪用等された事実は、本学およびTCSでは確認されておりません。改めまして、ご自分の就職のご相談にいらして頂いた学生・卒業生の皆様、ご家族の皆様、本拾得物をご提供頂いた方、ならびに本件により図らずもご迷惑を被られた方々に心よりお詫び申し上げます。

3．今後の対応

実際に面談記録が外部流出し漏えいの確認された方、漏えいの可能性のある方へ、本件の事実経緯、ご本人の漏えいもしくは漏えい可能性のある個人情報の内容、万一、ご不安やご不明な点がある場合のお問い合わせ窓口の連絡先について、書面でのご連絡を2023年8月17日より順次行っております。

4．再発防止策

（1）全キャリアカウンセラーに対し、個人情報の研修を8月中に実施し、情報管理の重要性について改めて意識の徹底を図ります。

（2）キャリアカウンセリング面談時の手書きメモは、面談を終えたら即時システム入力し、当日中に裁断廃棄することをダブルチェックいたします。

（3）本学、TCS双方でキャリアカウンセリング業務の流れについて定期的にチェックを実施いたします。

（4）面談記録に関わる管理プロセスの見直しによる、情報のトレーサビリティを含む管理の強化や、これに関する定期的なモニタリングを実施して参ります。

本学、TCSともに、今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-318】日本学術振興会が利用しているファイル転送サービス（Proself） への不正アクセスについて 2023年8月9日

平素より、本会への御理解、御協力をいただき誠にありがとうございます。

今般、独立行政法人日本学術振興会がファイル転送サービスとして利用していたサービス（Proself）について、不正アクセスが行われたことが判明しました。これは、去る 7 月20 日に発表された Proself の脆弱性を原因とするものであると考えられます。

これを受けて、サービス開発業者による調査を行った結果、Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていません。また、現在までのところ、今回の不正アクセスに起因すると思われる被害（二次被害を含む）は確認されていませ

ん。

なお、7 月 31 日において脆弱性が解消された Proself を新たな別サーバに再インストールし、運用を再開しております。

関係する皆様には御心配をおかけすることになり、お詫び申し上げます。日本学術振興会では、今後とも関係機関等とも連携しながら、引き続きセキュリティ対策の強化に努めてまいります。

今回の事案の経緯及び講じた措置は以下のとおりです。

 

7 月 27 日	本会利用のサービスに不正アクセスが行われた旨、サービス開発業者から報告あり。当該サービスを停止。
7 月 28 日	新サーバへのデータ移行を実施。すべての保存ファイルにウイルススキャンを開始。
7 月 29 日	すべての保存ファイルにウイルス感染がなかったことを確認。
7 月 31 日	脆弱性が解消された Proself を新たな別サーバに再インストール。運用を再開。
8 月 7 日	Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていないことをサービス開発業者から報告。

リリース文（プレスリリース）

【セキュリティ事件簿#2023-303】東京都 受託者における個人情報の漏えいについて（メールアドレスの流出） 2023年8月1日

総務局と「災害用備蓄品の期限前の有効活用に係る業務委託契約」を締結しているビーエスロジスティクス株式会社（以下「受託者」といいます。）において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様に多大な御迷惑をおかけし、深くお詫び申し上げます。今後、再発防止に向け、より一層の情報管理を徹底してまいります。

事故の概要

受託者が防災備蓄食品の寄附について案内するメールを対象者に送る際、メールアドレスをBCC欄に入力するべきところを、誤ってCC欄に入力し、送信した。

発生日

令和5年7月28日（金曜日）

漏えいした個人情報

都内の行政機関・法人・団体（社会福祉法人、NPO、自治会、学校法人等の団体）43団体の代表メールアドレス（41件）及び業務用個人メールアドレス（2件）

経緯

1. 令和5年7月28日（金曜日）午前9時57分、受託者が都内の行政機関・法人・団体43団体のメールアドレスをCC欄に入力しメール送信
2. 令和5年7月31日（月曜日）午後1時49分、メールを受信した方からの連絡により、当該事故が判明。午後2時05分、東京都から受託者へ事実確認を行い、午後5時03分、受託者から東京都へ報告
3. 同日午後5時50分、受託者から全対象者へ謝罪するとともに、メールの削除を依頼
4. 現在のところ二次被害等の報告は受けていない

再発防止策

受託者に対して個人情報の適切な取扱い、メールの個別送信及びメール送信先のダブルチェックを改めて徹底させ、再発防止を図る。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-278】東京都 受託者における個人情報の漏えいについて 2023年7月26日

教育庁と委託契約を締結している株式会社電通プロモーションプラス（以下「受託者」といいます。）において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様に多大な御迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1　事故の概要

受託者がオンラインイベントの事後アンケートの回答を促すメールを対象者に送る際、メールアドレスをＢＣＣ欄に入力するべきところを、誤ってＣＣ欄に入力し、送信した。

2　発生日

令和5年7月26日（水曜日）午前10時31分

3　漏えいした個人情報

オンラインイベントに申し込んだ都内在住・在学の高校生等23人のメールアドレス

4　経緯

（1）令和5年7月26日午前10時31分に、受託者が都内在住・在学の高校生等23人のメールアドレスをＣＣ欄に入力しメール送信

（2）同日午後2時59分頃、受託者から謝罪及びメールの削除を依頼

（3）現在のところ二次被害等の報告は受けていない。

5　再発防止策

受託者に対して個人情報の適切な取扱い及びメール送信先のダブルチェックを改めて徹底させ、再発防止を図る。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-270】公立学校共済組合 個人情報漏えいについてお詫びとご報告 2023年7月25日

公立学校共済組合兵庫支部が保有している人間ドック受診決定者の個人情報について、人間ドックシステム保守業務を委託している業者（㈱ファインシステム）の不適切なデータの取り扱いに起因して、2020年度に実施した１医療機関分（301名）の個人情報が、インターネット上で閲覧可能な状況になっていたことが判明しました。なお、現在のところ、本件に関しての被害等の報告はございません。

今回の件でご迷惑、ご心配をおかけした皆さまにお詫び申し上げますとともに、再発防止に取り組んでまいります。

１ 事案発生の経緯と対応

（１）令和５年７月14日（金）

• 組合員の方から「インターネットで自分の名前を検索したところ、人間ドックの受診決定一覧が閲覧可能な状態である。」旨の連絡により発覚した。
• 人間ドックシステム保守管理業者である㈱ファインシステムに連絡し、業者のテスト公開用のサーバーに個人情報が含まれたファイルが存在していることを確認。直ちに当該ファイルが表示されないようサーバーのインターネット接続を切断
• 各検索サイト事業者に対して本件に関する情報の削除を依頼

（２）令和５年７月15日（土）削除完了

（３）令和５年７月18日（火）流出原因の調査、対応策の検討

（４）令和５年７月20日（木）

• 2020年度当該医療機関の人間ドック受診が決定した301名に対して本件に関するお詫び文書を発送

２ 漏えいした情報

｢2020年度人間ドック医療機関別受診決定者一覧｣のうち１医療機関 301名分

• 内容：組合員番号、所属名、所属電話番号、組合員氏名、当時の年齢、性別、住所（自宅・所属）
• 閲覧可能期間：令和２年12月17日～令和５年７月14日

 ※受診決定者の一覧にある氏名で検索した場合のみ表示される。

３ 漏えいの原因

（１）令和２年12月17日 ㈱ファインシステムが公立学校共済組合兵庫支部において 人間ドックシステムのメンテナンス作業を行った後、システムの修正内容を再確認するため、システムのプログラムデータをＵＳＢメモリにコピーし持ち帰った。※そのデータの中に個人情報の入ったデータが含まれていた。

（２）同日、ＵＳＢメモリにコピーしたプログラムデータを㈱ファインシステムのテスト公開用サーバーにコピーした。テスト公開用サーバーはインターネットに接続可能な状態にあったため、個人情報が含まれるデータは外部から閲覧可能な状況になっていた。

４ 今後の対応

（１） ㈱ファインシステムでは再発防止のため①USBを用いないデータ受渡作業 方法の検討②インターネットからアクセスできないサーバーでの作業の実施③サーバー適用作業時には複数人で確認するなどの措置を講じます。

（２） 公立学校共済組合兵庫支部では、改めて委託業者による個人情報の取扱いに係る責任体制の強化を求めるとともに個人情報の適正管理方法の周知徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-267】茨城県 茨城県発達障害者支援センターにおける個人情報の漏洩について 2023年7月14日

茨城県が社会福祉法人同仁会に委託して実施している茨城県発達障害者支援センター「COLORS つくば」において、個人情報が漏洩する事案が発生いたしました。

今後二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 概要

（１）状況

• 市町村職員向け研修の実施にあたって、申込みの受付を Google フォームにより行ったが、誤って申込者全員の情報が Google フォーム上から確認できる状態になっていた。
• 研修当日の７月 12 日に、参加者から問合せがあって申込時の情報を確認したことから、設定の誤りに気付いた。
• 申込は６月 12 日に開始し、７月３日に締め切ったが、Google フォーム上から確認できる状態は、７月 12 日の午前 11 時頃まで続いていた。

※既に申込者全員に対して、状況を説明し、謝罪しております。

（２）漏えい件数

研修申込者の氏名、所属、年代、メールアドレス、電話番号 58 人分

２ 原因

Google フォーム作成時に、設定の確認を十分に行わなかったため。

３ 再発防止策

委託先である社会福祉法人同仁会に対し、以下の再発防止策等の徹底を指示する。

• Web フォーム作成時には、複数職員で確認を行う。
• Web フォーム作成ツールに不慣れな職員も対応できるように、マニュアルを作成し、適切な利用を徹底する。
• その他の業務においても、個人情報保護に必要な措置の点検を行い、改めて職員に対する教育を行う。

また、他の委託事業者に対しても、個人情報の取扱いについて、改めて内部における責任体制を明確にし、管理を徹底することを求める。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-263】角川アスキー総合研究所 弊社サイトから強制的に別サイトに移動する現象について 2023年07月10日

いつも弊社の媒体をご覧いただきありがとうございます。

先週末より、ASCIIブランドのサイトをスマートフォンなどで閲覧しようとした際、「〇〇名様当選のロイヤリティプログラムに選ばれました」などと書かれた外部のサイトに強制的に遷移する現象が発生しております。

遷移先のサイトでは「懸賞への当選」を称し、アンケート回答や個人情報の入力を促しています。こういったサイトが表示された際には、絶対に入力せず、該当するページをすぐ閉じてください。

これは、「リダイレクト広告」と呼ばれるもので、サイト内に設置してあるネットワーク広告の配信システムを悪用し、個人情報などを入力させる詐欺サイトなどに誘導する悪質なものとなっております。弊社の意図する挙動ではございません。

同様の問題は、ASCII.jpと同じネットワーク広告の仕組みを導入しているウェブサイトでも7月以降発生しております。

弊社では、悪用を行ったとみられる特定の広告を遮断しましたが、同様の現象が再発しないよう、ネットワーク広告事業者側と共に調査・改修をしていく所存でございます。

また、弊社サイトおよび他のウェブサイトを含め、今後も同様の現象が発生した際には、不用意に個人情報などの入力をしないようお願いいたします。

読者および関係者の皆様にご心配とご不便をおかけしますが、何卒よろしくお願いいたします。

追記(1)：2023年7月10日の19：00以降に、同じ事象が再度発生しているようです。引き続き対応に努めてまいりますが、サイトが表示された際には、アンケート回答／個人情報の入力などはせず、すぐに閉じていただきますようお願いいたします。（2023年7月10日）

追記(2)：外部のネットワーク広告事業者からの広告配信を止める作業が、昨日の午後に完了しました。以降、問題の再現はないようですが、引き続きご注意いただくようお願いいたします。（2023年7月12日）

リリース文（アーカイブ）

【セキュリティ事件簿#2023-091】東京海上ホールディングス株式会社 弊社からの送信メールデータの流出の可能性について 2023年6月15日

東京海上ホールディングス株式会社（以下「弊社」）において、「メール誤送信対策サービス」を委託する富士通株式会社（以下「富士通社」）のシステムが特定の期間に不正アクセスを受けたことにより、弊社から送信したメールデータの一部が技術的に外部から窃取可能な状態になっていたことが判明しました。弊社からメールの送信先の皆様へのご連絡を順次行っておりますが、ご連絡のつかない方が一部いらっしゃることから、本文においてもお知らせいたします。漏えいの可能性のある個人データ項目は、当該期間中に弊社から送信したメール内に含まれる情報（例：氏名、メールアドレス等）となります。

お客様をはじめとする関係者の皆様に、ご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

なお、本事案は、弊社子会社である東京海上日動火災保険株式会社および東京海上日動あんしん生命保険株式会社にて 2023 年 3 月 8 日に公表している事案と同じ事案となります。

弊社は、富士通社ですでに同様の事象が生じないように必要な対処（不正通信遮断等）を実施済みであることを確認しております。また、現時点ではお客様等の情報が悪用された事実は確認されておりません。

万一、弊社から発信したメールに関連してご心配な点がございましたら、お手数おかけしますが、以下のお問い合わせ先までご連絡くださいますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-214】杉並区 委託事業者サーバーのランサムウェアによる被害について 2023年6月7日

杉並区の事業（学童クラブ及び放課後等居場所事業）を受託している社会福祉法人福音寮が運用している一部のサーバーに格納されているデータが、ランサムウェアにより暗号化されてしまう被害を受ける事案が発生しました。

１ 経過

５月 30 日午前８時 50 分頃、当該事業者の職員がサーバー内のファイルが開けない異変に気付き、専門業者に連絡を行い、状況の確認及び対処を開始しました。その後、６月１日に本事案に関する連絡が区になされ、現在、感染経路や情報流出の有無などの調査を進めているところです。なお、今年度、両事業の利用登録をしている児童の保護者の皆様には、区のメール配信システムにより、本事案の内容をお伝えし、お詫びをいたしました。

２ 現時点で明らかになっている点

• 被害にあったサーバーは区の委託事業の運営に当たって必要なデータを格納しているもので、データの中には利用者に関する個人情報を含むものもある。
• サーバー内の全てのデータが暗号化された。
• リスク回避の観点も踏まえ、サーバー内の暗号化されたデータは全て削除した。
• 現時点で被害にあったサーバーのデータの外部への流出は確認されていない。

３ 当該事業者が受託している事業

学童クラブ事業 11 カ所、放課後等居場所事業７カ所

４ 今後の対応

現時点で調査は継続中であり、詳細を把握するためには一定の時間を要することが見込まれますが、感染経路や情報流出の有無などの調査を進め、再発防止策を早急にとりまとめてまいります。

また、本事案は、個人情報の保護に関する法律の規定に基づき、国の個人情報保護委員会に対して第１報を報告しております。

５ 区長コメント

事業を利用している児童・保護者をはじめ区民の皆様に、ご心配をお掛けし、深くお詫び申し上げます。引き続き、感染経路や情報流出の有無などの調査を進めるとともに、再発防止策を早急にとりまとめ、このようなことが起こらないよう指導を徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-212】日本製紙クレシア株式会社 ポイズ 選べる試供品プレゼントキャンペーン中止のお知らせ 2023年5月31日

現在一時休止させていただいております「ポイズ 選べる試供品プレゼントキャンペーン（当初の応募予定期間：2023年5月15日～2023年6月30日）について、お客様の個人情報を格納する業務委託先のサーバーに外部から不正アクセスがあったことが判明しました。お客様の個人情報の漏えいリスクを回避するため、今回のキャンペーンは中止させていただきます。

同サーバーに格納されていたお客様の個人情報について、外部から閲覧された可能性は完全には否定できないものの、お客様の情報を含め、データが同サーバーから外部に流出した痕跡は確認されておりません。また、これまでに、個人情報の漏えいや不正利用などの二次被害も確認されておらず、お客様の個人情報が外部に流出した可能性は極めて低いと考えております。なお、同サーバーからの本キャンペーンの応募者様に関する個人情報は全て隔離済みです。

また、同サーバーには過日終了した「ポイズ ママがうれしいプレゼントキャンペーン（応募期間：2023年2月1日～2023年4月7日）」の応募者リストのデータも保管してありましたので、当該キャンペーンの応募者様に関する個人情報も全て隔離しております。

漏えいの可能性のあるお客様には、5 月 31 日より順次、郵送やメールにて個別に報告を行っております。

弊社では、本件の発生を厳粛に受け止め、再発防止に向けて委託先含めたセキュリティ強化および情報管理の徹底を図ってまいります。 ご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

リリース文（アーカイブ）

大阪府警の誤認逮捕事件：デジタル犯罪調査のレベルが低い組織が捜査権や逮捕権を行使すると大変なことに・・・

先日、大阪府警が一人の男性を誤って二度にわたり逮捕した事件が報じられました。男性は交流サイト（SNS）を通じて知人の20代女性の性的な画像を他人に送ったとして、リベンジポルノ防止法違反などの疑いで逮捕されました。しかし、その後の捜査で、メッセージを送ったアカウントは男性のものではなく、何者かが男性になりすまして送信したことが判明しました。

この事件は、日本の警察機関におけるデジタル犯罪調査のレベルの低さを如実に示しています。SNSやメールなどのデジタルコミュニケーションツールは、現代社会においては欠かせない存在となっています。しかし、それらを適切に理解し、利用するための技術や知識が警察機関には不足していると言わざるを得ません。

この事件で逮捕された男性は、約40日間も勾留され、その間に名誉や人生を大きく傷つけられました。警察は、誤認逮捕を認め、男性に謝罪しましたが、それだけで事態が解決するわけではありません。警察機関は、このような誤りを繰り返さないために、デジタル犯罪調査のレベルを向上させる必要があります。

この事件は、警察だけでなく、私たち一般市民にとっても重要な教訓を提供しています。デジタル技術が日常生活に深く浸透する中で、それに対する理解と対応能力を高めることの重要性を改めて認識するべきです。

参考：SNSのアカウント名で被疑者断定した大阪府警の誤認逮捕についてまとめてみた

参考：大阪府警が誤認逮捕　無関係の男性に「犯人は君しかいない」「正直に言えよ」 “自白”迫り、12時間も…取り調べの実態は

【セキュリティ事件簿#2023-201】委託先がメール誤送信、講座受講生のメアド流出 - 滋賀県

県委託事業として（公財）滋賀県国際協会が実施している「ミシガン州立大学連合日本センター英語講座」において、案内をメール送信した際に、個人情報(個人メールアドレス)が流出いたしました。 

 これにより、当事者の皆様に御迷惑をおかけいたしましたことにつき深くお詫び申し上げますとともに、今回の事案に至ったことを深く反省し、再発防止に努めてまいります。

1．事案の概要

委託先事務局が夏季英語プログラムの日程表を送付するため、複数の受講生あてメール送信する際、「BCC」にメールアドレスを入力すべきところ、誤って送信先の宛先が確認できる状態で送信しました。

1. 発生日:令和5年5月23日(火)
2. 発生場所:委託先事務局内
3. 流出した個人情報:個人メールアドレス 38名分

2．経緯

(1)令和5年5月23日(火)

 17時9分 委託先事務局から夏季英語プログラムの日程表を送付するメールを送信。

 17時13分 送信エラーで未送信メールがあったため同内容のメールを再送信。

「BCC」にメールアドレスを入力すべきところ、誤って送信先の宛先が確認できる状態で送信。

(2)令和5年5月23日(火)18時10分頃

 上記(1)メールを確認した委託先事務局員が送信先の宛先が確認できる状態で送信されていることに気付き、判明。受信した受講生1名からも、御指摘をいただく。

(3)同日18時20分頃から

 委託先事務局からすべての受信者あてに、個人情報の流出のお詫びと上記(1)メールの削除依頼の電話連絡を開始。

(4)同日20時18分

 委託先事務局からすべての受信者あてに、メールにて個人情報の流出のお詫びと上記(1)メールの削除を依頼。

(5)令和5年5月24日(水)9時頃から

 委託先事務局から、23日に電話がつながらなかった受講生10名に再度電話連絡し、個人情報の流出のお詫びと上記(1)メールの削除を依頼。

3．再発防止策

今後、同様の事案が発生しないよう、委託先に対して、個人情報の適正な管理および取扱いの徹底を指導してまいります。

委託先事務局においては、複数名あて送付するメールについては、「BCC」による一斉送信とし、複数の職員によるチェック体制を徹底します。

また、公式LINEアカウントからの一斉連絡に切り替えられるよう、受講生に登録していただくよう再度周知します。

併せて、外部のメール配信システムの使用を検討します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-196】茨城県 県立あすなろの郷におけるメール送信による情報漏えいについて 2023年5月25日

県立あすなろの郷（指定管理者：(社福)茨城県社会福祉事業団）において、個人情報（入所者名とメールアドレス）が漏洩する事案が発生いたしました。

今後、二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 事案の概要

（１）情報漏洩の状況

• ５月９日、県立あすなろの郷の指定管理者である(社福)茨城県社会福祉事業団の職員が、入所者の保護者等に対してメール(メールアドレスの登録が完了したことを報告する内容)を送信した際に、ＢＣＣで送信すべきところをＣＣで送信したため、メールアドレスの情報が漏えいした。
• ５月２２日、上記メールを受信した入所者の保護者から連絡があり、情報漏えいが判明した。
• 発覚後、情報漏えいがあった入所者の保護者等に対して謝罪し、受信したメールを削除するよう依頼した。
• なお、現在、メール送信先の入所者の保護者等以外に情報が漏えいしたとの情報はない。

（２）漏洩件数

• 入所者名と保護者等メールアドレス 88 件(80 人分)
  　※複数のメールアドレスを登録しているケースがある。

２ 原因

外部へのメール送信前に送信先及び送信方法の確認を十分に行わなかったため。

３ 再発防止策

指定管理先である(社福)茨城県社会福祉事業団に対し、以下の再発防止策等の徹底を指示し、事業団において対応中。

• 外部にメールを送信する場合は、必ずＢＣＣで送信するようにする。
• 外部にメールを送信する場合は、複数人で送信先及び送信方法を確認して

から送信するようにする。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-195】株式会社モンテディオ山形 個人情報流出に関するお詫びとお知らせ 2023年5月25日

株式会社モンテディオ山形（代表取締役社長：相田　健太郎）が保有する個人情報の一部が流出していることが判明しましたので、お知らせいたします。なお、現時点では本件に関わる個人情報の不正利用等は確認されておりません。

お客様および関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

本件に関する概要につきましては、以下の通りです。

1.外部流出した個人情報

（1）項目

　JリーグID会員に登録されているメールアドレス

（2）対象件数

　152件

2.経緯

5月24日（水）

①モンテディオ山形が業務委託する外部業者において、来場促進メールを配信する際に、全体配信対象1,759件を3つのグループに分けて配信したところ、内1グループ（586件）の配信で、152件がエラーメールとなり配信未完了となりました。

② エラーによる配信未完了の152件についてメールを再配信する際に、宛先ではなく誤ってメール本文へ152件のメールアドレスを添付してしまった結果、586件中500件へ152件のメールアドレスが添付されたメールを配信してしまいました。

3.原因

本来、メール作成時に「配信対象のファイルを宛先に追加」すべきところ、「配信対象のファイルをメールに添付」としてしまったため、エラーメールとなった方の「メールアドレス」「半額優待用URL」が入力されたExcelファイルを添付し送信してしまい、メール配信時に添付及び配信対象相違に気付くことが出来ず、そのまま配信してしまったことが原因です。

4.今後の対応

本件の対象のお客様には、事象発生のご報告およびお詫びをメールとお電話にてご連絡いたします。

本件については、すでにJリーグ等の関係機関への適時報告を行っており、今後も引き続き外部業者と協力して調査していきます。なお、流出元となった外部業者にて、該当のお客様には、当該メールの破棄をご依頼させていただいており、さらなる情報流出がないよう対応いたします。

 

該当するお客様をはじめ関係者の皆様には、多大なるご迷惑とご心配をおかけしますことをあらためてお詫び申し上げます。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、委託先の管理を含め、より一層の管理体制の強化に努めます。何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-193】東京都交通局 個人情報の漏えいについて 2023年5月17日

東京都交通局広報誌を紹介するホームページ内の「読者プレゼント応募フォーム（外部リンク）」において応募者の個人情報 166 名分が閲覧できる状況にあった事故が発生しましたので、お知らせします。

関係者の皆様には多大なるご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

１ 事故の概要

• 令和５年５月２日（火）から同月１６日（火）までの間、当局広報誌「ふれあいの窓（2023 年５月号）」を紹介するホームページ内の「読者プレゼント応募フォーム（外部リンク）」（以下「応募フォーム」）において、応募者の個人情報が閲覧できる状態が発生しました。
• 応募フォームは、当局広報誌を受託作成している株式会社文化工房（以下「受託会社」）が制作・運用し、応募者の個人情報も受託会社が管理していました。

２ 漏えいした個人情報

応募者 166 名分の氏名、住所、電話番号、メールアドレス、自由意見

３ 事故の経緯・対応状況

• 令和５年５月１日（月）
   応募フォームを公開
  
  
• 令和５年５月１６日（火）
  応募者から、応募フォーム内に表示されるボタンを押すと応募者の個人情報が閲覧できている、との連絡が都営交通お客様センターにありました。この連絡を受け、当局は直ちに受託会社に状況を聴取するとともに、応募フォームを一時停止しました。
  また、応募者 166 名の方々に対して、状況の説明と謝罪を開始し、５月１７日（水）１２時までに応募者の方々に連絡が終了しました。
  なお、現時点では、本件による二次被害は、報告されておりません。

４ 発生原因

 

受託会社が令和５年５月２日（火）に、応募フォームの編集作業をした際に、公開範囲を誤って設定したことが原因です。

５ 再発防止の対応

• 受託会社に対し、厳重な注意と個人情報保護に必要な措置を至急講じるよう、委託契約の規定に基づき指示をしました。
  
  
• 個人情報を取り扱う全ての委託事業者に対し、個人情報の適正な取扱いについて周知するとともに、局職員に対し、個人情報を取り扱う委託事業者に対する監督を適切に行うよう通知を発出しました。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-183】エーザイ株式会社 不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 2023年5月19日

エーザイ株式会社並びにその子会社・関連会社である EA ファーマ株式会社、株式会社カン研究所及び株式会社サンプラネット（以下「当社ら」といいます）の一部の取引先関係者様のご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。

１. 漏洩の可能性のある対象者

対象となる可能性がある取引先関係者様は、2018 年 5 月から 2023 年 4 月に当社らが管理する Microsoft 製品または ID 管理システムに、当社らとの業務上の目的のためにユーザー登録された方で、現時点までの調査においては、具体的には以下に該当する方が含まれています。

• 当社ら管理の Microsoft Teams へプロジェクト等で招待された方（単に Teams 会議に招待された方は対象外です）
• 当社ら管理の Microsoft SharePoint へのアクセス権を付与された方
• 当社ら管理の Microsoft 365 グループ（メーリングリスト）に登録された方
• 当社ら管理の ID 管理システムに登録された方(業務委託会社等)

海外関連会社を含む当社グループ全体として約 11,000 件の取引先関係者様の情報が対象となっており、その一部が国内グループ企業である当社らの取引先関係者様の情報である可能性がございます。なお、当社らのセルフケア商品の通信販売やキャンペーンなど一般生活者様の情報については該当致しません。

２． 漏洩の可能性のある個人情報

現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名（登録されていた場合のみ）及び当社らとの業務上使用されたメールアドレスのみであり、その他情報について漏洩の可能性はない見通しです。

３. 経緯及び対応

2023 年 4 月 28 日（日本時間）に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。 これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、各国規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分にご注意いただくようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-162】北海道教育大学 個人情報の紛失について 2023年4月14日

この度、本学がICカード学生証の製作を委託している外部業者において、本学が保有する個人情報が記載された書類を紛失していたことが判明しました。

現時点では、本件に関し、個人情報の不正利用等は確認されておりません。

関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明した事実及び本学における対応は、次のとおりです。

１．紛失した個人情報の概要

　(1) 紛失した書類と当該書類に含まれる個人情報の項目

　　① 写真票（受験番号、氏名（カナ）、生年月日、顔写真）

　　② 名 簿（受験番号、氏名（漢字、カナ）、性別、勤務先※、出身学校＊、看護師免許有無※）

　　　※ 養護教諭特別別科のみ

　　　＊ 養護教諭特別別科は、「学校・養成所」

　(2) 対象者及び件数

　　　函館校学校推薦型選抜を受験し、令和5年度の入学手続きを完了した方   70人

　　　令和5年度の養護教諭特別別科の入学手続きを完了した方　　　　　　   40人

2．原因

詳細は調査中ですが、外部業者の事務所の移転作業の際に当該書類の確認が疎かになり、当該「写真票」及び「名簿」を誤って廃棄してしまった可能性が高いことが考えられます。 

3．本学の対応

対象となる方には、お詫びとお知らせの文書をお送りしております。

本件については、今後も引き続き外部委託業者と協力して調査を行い、被害が拡大することのないよう、必要な措置を講じる所存です。

本学では、今回の事態を重く受け止め、再びこのようなことがないよう、委託先における管理を含め、より一層の管理体制の強化に努めてまいります。

リリース文（アーカイブ）