1 報告内容
10月27日(金)
午後3時04分
イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開
午後5時44分
イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識
午後5時46分
県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示
午後6時27分
他の申込者の情報が掲載されたページを非公開に設定(※非公開設定時点で、申込者は66名)
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
10月27日(金)
午後3時04分
イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開
午後5時44分
イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識
午後5時46分
県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示
午後6時27分
他の申込者の情報が掲載されたページを非公開に設定(※非公開設定時点で、申込者は66名)
沖縄県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCXにおいて、同社が利用するコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社の元派遣社員が、不正に個人情報を持ち出し流出させていたことが、NTTビジネスソリューションズ株式会社等からの報告により判明しました。
現時点(令和5年10月18日)では、沖縄県分の個人情報については、第三者への流出は確認できておりませんが、県民の皆様には、不審な電話や訪問者等にご注意くださるようお願いいたします。
自動車税に関する平成25、26年度の納税者情報 約6.5万人分※
対象となる納税者情報:氏名、住所、電話番号、生年月日
※ 人数については、NTTマーケティングアクトProCX社等の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。
カシオ計算機株式会社の提供するICT教育アプリへの不正アクセスにより、同アプリに登録されている個人情報が漏洩した事案について、事業者より、本県の県立学校等の生徒・教員が含まれているおそれがあるとの報告がありました。10月23日時点で判明している内容は下記のとおりです。
県立高校29校・県教育委員会事務局の氏名4,142件、メールアドレス1,134件
カシオ計算機株式会社
ICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」
※不正アクセスがあったのは開発環境で、システム停止など利用者への直接の影響はなかったと事業者より報告を受けています。
・事業者に対して、引き続き漏洩状況の調査を行うとともに、調査結果の報告を求めています。
・個人情報の漏洩の可能性のある県立高校では、生徒に状況を伝えるとともに、不審なメールが届いた場合には、学校に連絡するように周知します。
・現時点では県立高校から被害等の報告はありません。
(参考)事業者の公表内容
10月18日 カシオ計算機株式会社
「不正アクセスによる個人情報漏えいのお詫びとご報告」
・対象件数
<国内>個人と1,108の教育機関の計91,921件
<海外>148の国と地域のお客様の計35,049件
・漏洩したおそれのある項目
1.氏名 2.メールアドレス 3.国/地域 4.学校名・学年・学級名・出席番号(学籍番号)
5.購買に関する情報( 注文明細 、決済手段、ライセンスコードなど)
※クレジットカード情報は含まれない
6.本サービスの利用履歴やニックネームなど
カシオ計算機株式会社のICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)*」のシステムへの不正アクセスにより、登録されている一部の個人情報が、外部に漏えいしたとの報告があったので県立高校への影響についてお知らせします。
カシオ計算機株式会社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果データベースに含まれていた国内外の一部の顧客の個人情報が漏えいしたもの。
https://www.casio.co.jp/release/2023/1018-incident/
カシオ計算機株式会社から報告のあった対象高校・人数と漏えいした可能性のある個人情報
(1)対象高校・人数
県立高校8校 対象人数1,936人
(内訳)
三郷高等学校 329人
草加西高等学校 270人
松山高等学校 414人
坂戸高等学校 382人
日高高等学校 205人
新座柳瀬高等学校 160人
川口北高等学校 110人
伊奈学園総合高等学校 66人
(2)漏えいした可能性のある個人情報
氏名、メールアドレス、学校名、学年、学級名、出席番号
なお、現在のところ、第三者による不正使用等の被害の発生は確認されていない。
対象となった8校においては、本日付けで生徒・保護者あてに当該アプリのサービスを利用するためのログインIDにかかるパスワードを変更するなどの注意喚起を行うとともに、併せて、全県立学校に対して当該事案の周知を行った。
カシオ計算機株式会社に対し、漏えいした個人情報の詳細の報告を求めた。
お客様情報相談窓口:0120-302346
(フリーダイヤル、受付時間:平日 9時00分~17時30分)
カシオホームページ窓口: https://www.casio.com/jp/information/1018-incident/
*「ClassPad.net」のアプリとは、タブレット端末やパソコンから参考書などを利用できるサービスで、辞書機能や数学ツール機能等がある。
NTT-MA社が利用するコンタクトセンタシステムを提供するNTT-BS社の同システムの運用保守業務従事者が、お客さま情報を不正に持ち出しました。
当社は一部の森永牛乳販売店より業務委託を受け、NTT-MA社に電話による牛乳宅配サービスの紹介業務を委託していました。
NTT-MA社およびNTT-BS社より、2023年10月16日にお客さま情報の不正持ち出しについて報告を受けて判明しました。
※2016年3月9日までに牛乳宅配サービスのテレマーケティング業務を委託したお客さま情報
※現段階では、第三者に流出した事実は確認されておりません。
※クレジットカード情報及び金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。
弊社お客様の ①氏名 ②住所 ③電話番号 ④生年月日 ⑤性別、の5つの情報
2016 年 2 月~2023 年1月の期間に約 400 万件の漏洩と報告を受けておりますが、現在、詳細情報を確認中です。
町田市保険年金課が、2015年度に特定健康診査の受診勧奨業務を委託していた株式会社NTTマーケティングアクトProCX(以下「ProCX社」という。)において、ProCX社が利用するシステムの保守会社NTTビジネスソリュ―ションズ株式会社の元派遣社員が、個人情報を不正に持ち出し、第三者に流出させていた可能性があることが判明しました。
現在ProCX社に対しては、流出データの特定と詳細情報の提供を求めています。
市民の皆様におかれましては、不審な電話や訪問者等にご注意くださいますようお願い申し上げます。
新たな情報が入り次第、このページでお知らせいたします。
2015年度末時点の年齢が40歳以上74歳未満で、2015年度の町田市国民健康保険特定健康診査が未受診であった方のうち、約8,000人
氏名、住所、電話番号、性別、生年月日、保険証の記号番号、2014年度特定健康診査の受診の有無
なお、クレジットカード情報、金融機関口座情報及び特定健康診査の結果は含まれません。
ProCX社は、全国で59団体、約900万件に及ぶ今回の不正流出について、2023年10月17日に報道発表をしており、市民の方の問い合わせ先として、委託業者が特設コールセンターを開設しています。
0120-220-614
9時から20時まで
年末年始を除く、平日及び土日祝対応です。
カシオ計算機株式会社のICT 教育アプリ「ClassPad.net(クラスパッド ドット ネット)」 のシステムへの不正アクセスによって個人情報漏えいの報道が昨日ありました。その後県立学校職員及び生徒の個人情報が含まれると当該企業から報告がありました。
カシオ計算機株式会社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果そのデータベースに含まれていた県立学校職員及び生徒の個人情報が漏えいしました。
令和5年10月11日(水曜日)夕方、カシオ計算機株式会社担当者が開発環境での作業を試みた際にデータベースに障害が発生していることが発覚し、カシオ計算機株式会社が事態を把握しました。10月18日(水曜日)17時54分、カシオ計算機から学習指導課に本件について報告がありました。
1 氏名
2 メールアドレス
3 国/地域
4 学校名・学年・学級名・出席番号(学籍番号)
5 購買に関する情報(注文明細、決済手段、ライセンスコードなど)※クレジットカード情報は保持しておりません。
6 本サービスの利用履歴やニックネームなど
カシオ計算機株式会社に流出した個人情報の詳細な報告を求めています。
すべての県立学校に、当該事案の周知をしていますが、現時点では不正利用等の被害の発生は確認されていません。
千葉市において、国民健康保険被保険者情報が流出した可能性があることが判明しましたので、お知らせします。
市民の皆さまへ多大なご心配をおかけしておりますことにお詫び申し上げます。
なお、このことに関して、現時点で市や事業者から電話などでご連絡することはありません。詐欺等に十分ご注意ください。
平成27年度に本市が実施した国民健康保険被保険者の特定健康診査未受診者電話勧奨業務について、株式会社NTTマーケティングアクトProCX(以下、委託事業者という)に委託したところ、委託事業者が運営に当たって利用したコールセンターシステムの保守事業者であるNTTビジネスソリューションズ株式会社において、当該システムの運用保守業務に従事していた元社員(1人)が、不正に個人情報を取得し、第三者に流出させた可能性がある旨、10月16日(月)に委託事業者から報告がありました。
<参考>特定健康診査未受診者電話勧奨業務について
40歳から65歳までの国民健康保険被保険者を対象に、生活習慣病予防を目的に実施している特定健康診査の前年度未受診者に対し、電話により受診勧奨を行うもの。
平成27年9月30日~平成28年2月29日
平成27年度中に特定健康診査の対象となった国民健康保険被保険者情報
約5万件分(住所、氏名、氏名カナ、性別、年齢、電話番号)
・10月17日(火)午後に委託事業者が記者会見を行い、本事案を公表しています。
※委託事業者は以下の通り相談窓口を開設しています
株式会社NTTマーケティングアクトProCX お客様相談窓口
電話 0120-220-614(受付時間 9時~20時)
・市における個人情報の流出可能性事案に関して、10月17日に個人情報保護委員会に報告しています。
・今後、委託事業者の社内調査で得られた電話番号データと本市が所有する情報を照合し、流出した人数を確定する予定です。流出した恐れのある方に対してのお知らせ方法に関しては、現在検討中です。決まりましたら、こちらのホームページで公開します。
本県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCX(以下「A社」という。)のコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社において、元社員(1人)が不正に個人情報を取得し、流出したことが発覚しました。
このため、A社から10月13日(金)に本県に事案概要を報告されたもの(現在、警察による捜査中)。
<委託期間>
平成27年度 平成27年6月11日~9月30日
平成28年度 平成28年6月9日~9月25日
平成29年度 平成29年5月31日~9月25日
平成30年度 平成30年6月6日~10月15日
令和元年度 令和元年5月31日~10月15日
自動車税に関する納税者情報 最大約14万人分※
(氏名、電話番号、郵便番号、住所、年齢、生年月日)
※ 人数については、A社の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。
A社は本日、相談窓口を設置するとともに、プレスリリースを行う。
A社からの情報については、随時、県HPにて周知を行う。
県は本日、個人情報保護委員会に報告。
弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日~2023年 10 月 23 日の間に着工または着工予定のお客様
氏名のみ 109,406 件氏名及び建築地住所 1,261 件
期間:2023年8月19日(土曜日)から9月24日(日曜日)まで内容:名古屋城金シャチ横丁の土産店「鯱上々」で、「家康」をテーマに写真を撮り、「鯱上々」内に隠されたキーワードとともにXに写真を投稿した方のうち、抽選で100名の方に、Amazonギフトカード2,000円分をプレゼントするキャンペーン。実施:愛知・名古屋大河ドラマ展実行委員会が株式会社ジェイアール東日本企画中部支社に委託して実施。
同キャンペーンの当選者のうち最初の13名に対して、Xのダイレクトメッセージで入力フォームを送付し、景品の送付先に関する情報の入力を依頼した。
入力フォーム登録者全員の登録情報(氏名、Xアカウント、メールアドレス)が閲覧できる旨の報告が、当選者から3件寄せられた。
受託者である株式会社ジェイアール東日本企画中部支社において確認したところ、個人情報の漏えいが確認されたため、管理者のみが閲覧可能な状態に設定を変更した。
個人情報が漏えいした入力フォーム記入者9名全員に対して、謝罪した。
今回の事案を踏まえ、同様の事案が発生しないように、個人情報の適切な管理及び取扱について受託者を指導するとともに、県においても、業務期間内の受託者の管理及び取扱状況を確認することによりチェック体制を充実させ、再発防止を徹底します。
この度、JR東日本ホテルメッツ五反田におきまして、当ホテルで利用しているooking.com社(本社:アムステルダム(蘭))の宿泊予約情報管理システム(以下、管理システム)が不正アクセスを受け、一部のお客様の個人情報が流出した可能性を否定できない事態が発生いたしました。
また、悪意のある人物により一部のお客様に対してフィッシングサイト(※)へ誘導するメッセージが配信されたことを確認いたしました。
詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。
また、お客さまにおかれましては、そのようなメッセージを受信した場合、記載されたURLリンクへアクセスされませんよう、お願い申し上げます。
※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。
2023年10月5日(木)16時過ぎより、Booking.com経由でご予約いただいたお客様から、フィッシングサイトへ誘導するメールが届いているとのお問い合わせが当ホテルに寄せられたことで、管理システムが不正アクセスを受けたことが判明いたしました。
これを受けて、当社は直ちに管理システムへのログインパスワードの変更を行うとともに、Booking.com社経由の新たな宿泊予約の受付を停止する対応を行いましたが、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。不正アクセスの原因等については、現在当社及び関係機関において調査中です。
なお、Booking.com社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。
お問い合わせいただきましたお客さまには、状況をご説明のうえ、記載されたURLリンクへのアクセスをされないようご案内しております。また、Booking.com社経由でご予約いただいたお客様へは、同内容の注意喚起のご連絡を差し上げております。
現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。また、詳細が明らかになりましたら随時報告させていただきます。
この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。
垂井町業務の委託事業者である株式会社ポニーキャニオン が、今和 5 年10月5日(木)に送信した「垂井町歴史講演会にご当選の皆様」 において、誤って個人のメールアドレス236件が流出する事案が発生しましたので報告いたします。
午前10時
委託事業者がメールを送信
午前10時10分
当該メールを受け取られた方から、メールアドレスが見られるようになっているとの電話が町へあった。確認したところ、誤って送信先全員を宛先(TO)で送っていたことが判明。町から委託事業者へ事故発生を伝える。
午前11時45分
委託事業者から対象者あて、お詫びとともに送信したメールを削除していただくようお願いする内容のメールを送信
午後1時30分
町から対象者へお詫びと概要・経緯のメールを送信
森づくり推進課がアジア航測株式会社に委託し、運営している登録制の「高知県スマート林業総合支援サイト」で公開したファイルの一部に個人情報を含むデータが掲載され、サイト利用のために登録されている事業者より一定期間(令和5年5月17日~8月24日)取得可能な状態となっていました。
流出情報:森林所有者氏名と一部の住所
人数:4,244人(うち 3,605人:旧仁淀村 638人:馬路村 1人:土佐市)
本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。
当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス(以下、「本事案」)を受け、サービス提供の停止を余儀なくされておりました。
このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。
1.事態の概要
2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。
①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム(以下、「エムケイシステム社」)社から2023年6月5日(月)に本事案に関する連絡を受けた。
②2023年6月6日(火)に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。
③個人情報保護委員会宛本事案の速報を行った。
その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。
不正アクセスによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース(https://www.mks.jp/company/topics/)をご参照ください)。
なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。
2.対象となり得る方
当センターと雇用契約を締結したことのある方ならびにその被扶養者
3.対象となるデータの項目
氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)
(注)なお、マイナンバーは流出の恐れの情報範囲には含まれていません。
4.原因
エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。
5.二次被害又はそのおそれの有無及びその内容
エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。
この誤送信を起こしたのは、熊本県観光連盟から委託を受けていた日本旅行熊本支店であり、熊本豪雨の被災地域支援を目的とした「くまもと行くモン旅割!」の運営・管理業務を担当していました。事業に関連する電子メールを事業者らに送信する際に、このミスが発生しました。
現在、このメールアドレスの流出による具体的な被害は報告されていません。日本旅行社は公式に謝罪を行い、熊本県観光連盟からは情報の適切な取扱いについての指導を受けています。