【セキュリティ事件簿#2023-437】三重県 委託事業におけるイベント申込者の個人情報の誤掲載について

大都市圏向け観光プロモーション事業の一環として実施予定のユーチューバートークイベントにおいて、委託事業者（株式会社ジェイアール東海エージェンシー）が制作した参加申込みフォーム入力後に、既に申込済みであった方の個人情報（氏名、連絡用電話番号）が誤って掲載されていたページを閲覧できる状態になっていたことが判明しました。

１　報告内容

（１）経緯

１０月２７日（金）  

午後３時０４分　

イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開 

午後５時４４分　

イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識

午後５時４６分　

県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示

午後６時２７分　

他の申込者の情報が掲載されたページを非公開に設定（※非公開設定時点で、申込者は66名）

（２）原因

委託事業者内で申込フォームのページを制作した際、他の情報が見られるような設定項目のチェックを外して確認していたにもかかわらず、公開時点で人為的ミスによりチェック項目にチェックが入った状態で公開していたことにより発生したものです。

２　今後の対応方針

委託事業者に対し、再発防止策について報告を求めるとともに、各申込者あてに謝罪を行うよう指示しました。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-436】国立環境研究所が運用するオンラインストレージサービス（Proself）への不正アクセスについて

国立環境研究所がファイル転送サービスとして利用していたオンラインストレージサービス（Proself）について不正アクセスがあり、サーバ内に保管していた個人情報を含むデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかったProselfの脆弱性（ゼロデイ脆弱性）を突いたサイバー攻撃によるものとなります。

国立環境研究所における本事案の経緯及び講じた措置は以下のとおりです。

10月5日　Proselfへの不正アクセスの痕跡を発見。同日に対象サーバを運用停止。

10月10日　調査により、脆弱性を悪用してアカウントの一覧やパスワードハッシュを窃取し、その情報をもとに不正ログインが行われ、一部のファイルへアクセスが行われたことが確認された。（同日、個人情報保護委員会に報告）。

実際に不正アクセスが行われた期間は、9月15日～9月28日までの間で、個人情報を含むデータの一部が外部に漏えいした可能性があります。現在漏えいが判明している個人情報は、当研究所職員の健診受診者名簿、外部機関等を含む各種委員会等の名簿、研究所Webサイトからのデータダウンロードサービスをご利用の際にご登録いただいたメールアドレス等が含まれていることが判明しております。

引き続き、詳細調査を継続しておりますが、並行して、漏えいした可能性のあることが判明した方に対して順次、個別の通知を進めているところです。関係者の皆様には、ご迷惑をおかけすることとなり、お詫び申し上げます。

なお、現時点で、個人情報の悪用等の被害は確認されていません。

国立環境研究所では、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。　

リリース文（アーカイブ）

【セキュリティ事件簿#2023-433】佐賀県 イベント申込者の情報を他の申込者が閲覧できる状態になっていました

「介護の日記念事業」に関する事業を受託している株式会社佐賀新聞サービス（以下、「受託事業者」という。）において、インターネットによるイベント申し込み設定にミスがあり、イベント申込者の個人情報を他の申込者が閲覧できる状態になっていた事案がありました。

事案の概要は下記のとおりです。同様の事案が生じないよう再発防止に取り組みます。

1　事案の概要及び対応

インターネットからイベントの参加申し込みを行った際、申し込み完了画面に表示されるリンクを開くと、先に申し込みした方の情報を見ることができる状態となっており、申込者3名の方が当該リンクを開き、先の申込者の個人情報を目にされていた。

申込者に対しては、受託事業者から概要の説明及び謝罪が行われました。

（1）覚知日　令和5年10月20日（金曜日）

（2）リンク先に掲載されていた個人情報（17組29名分）

　　・代表者の氏名、年齢、住所、電話番号、メールアドレス

　　・同行者の氏名

2　再発防止策

個人情報を取り扱うフォームの公開に際しては制作・テスト・公開の各段階において、必ず2人以上で確認を行い、公開後も随時確認を行うこととし、その周知徹底を図ります。

また、受託事業者における個人情報の管理に係る監督を改めて徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】沖縄県 NTTビジネスソリューションズ元派遣社員による個人情報の不正流出について

１　概要　

沖縄県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCXにおいて、同社が利用するコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社の元派遣社員が、不正に個人情報を持ち出し流出させていたことが、NTTビジネスソリューションズ株式会社等からの報告により判明しました。

現時点（令和5年１０月１８日）では、沖縄県分の個人情報については、第三者への流出は確認できておりませんが、県民の皆様には、不審な電話や訪問者等にご注意くださるようお願いいたします。

２　漏えいした可能性のある個人情報

自動車税に関する平成２５、２６年度の納税者情報　約6.5万人分※

対象となる納税者情報：氏名、住所、電話番号、生年月日

※　人数については、NTTマーケティングアクトProCX社等の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

３　対応

1. 個人情報保護委員会への報告及び本人への通知
   
   
2. NTTマーケティングアクトProCX社等が設置する問い合わせ窓口の周知（下記、４　相談窓口　参照。）
   
   
3. 県税務課等での問い合わせ対応
   
   
4. 県税情報を扱う委託業者への事案共有及び個人情報の管理体制の点検

リリース文（アーカイブ）

【セキュリティ事件簿#2023-418】三重県 県立高校における個人情報の漏洩のおそれのある事案の判明について

 

カシオ計算機株式会社の提供するICT教育アプリへの不正アクセスにより、同アプリに登録されている個人情報が漏洩した事案について、事業者より、本県の県立学校等の生徒・教員が含まれているおそれがあるとの報告がありました。10月23日時点で判明している内容は下記のとおりです。

１　本県における対象件数

　県立高校２９校・県教育委員会事務局の氏名4,142件、メールアドレス1,134件

２　ICT教育アプリ

　カシオ計算機株式会社

　ICT教育アプリ「ClassPad.net（クラスパッド ドット ネット）」

※不正アクセスがあったのは開発環境で、システム停止など利用者への直接の影響はなかったと事業者より報告を受けています。

３　今後の対応等

・事業者に対して、引き続き漏洩状況の調査を行うとともに、調査結果の報告を求めています。

・個人情報の漏洩の可能性のある県立高校では、生徒に状況を伝えるとともに、不審なメールが届いた場合には、学校に連絡するように周知します。

・現時点では県立高校から被害等の報告はありません。

（参考）事業者の公表内容

　10月18日　カシオ計算機株式会社

　「不正アクセスによる個人情報漏えいのお詫びとご報告」

・対象件数

　＜国内＞個人と1,108の教育機関の計91,921件

　＜海外＞148の国と地域のお客様の計35,049件

・漏洩したおそれのある項目

　１．氏名　２．メールアドレス　３．国/地域　４．学校名・学年・学級名・出席番号（学籍番号）

　５．購買に関する情報（ 注文明細 、決済手段、ライセンスコードなど）

　　　※クレジットカード情報は含まれない

　６．本サービスの利用履歴やニックネームなど

リリース文（アーカイブ）

【セキュリティ事件簿#2023-418】埼玉県 カシオ計算機株式会社のシステムへの不正アクセスによる県立高校への影響について

 

カシオ計算機株式会社のICT教育アプリ「ClassPad.net（クラスパッド ドット ネット）＊」のシステムへの不正アクセスにより、登録されている一部の個人情報が、外部に漏えいしたとの報告があったので県立高校への影響についてお知らせします。

1 事案の概要

カシオ計算機株式会社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果データベースに含まれていた国内外の一部の顧客の個人情報が漏えいしたもの。

　https://www.casio.co.jp/release/2023/1018-incident/

2 県立学校への影響

カシオ計算機株式会社から報告のあった対象高校・人数と漏えいした可能性のある個人情報

（1）対象高校・人数

県立高校8校　対象人数1,936人

（内訳）　

三郷高等学校              329人

草加西高等学校           270人

松山高等学校               414人

坂戸高等学校               382人

日高高等学校               205人

新座柳瀬高等学校        160人

川口北高等学校            110人

伊奈学園総合高等学校   66人

（2）漏えいした可能性のある個人情報

氏名、メールアドレス、学校名、学年、学級名、出席番号

なお、現在のところ、第三者による不正使用等の被害の発生は確認されていない。

3 県の対応

対象となった8校においては、本日付けで生徒・保護者あてに当該アプリのサービスを利用するためのログインIDにかかるパスワードを変更するなどの注意喚起を行うとともに、併せて、全県立学校に対して当該事案の周知を行った。

カシオ計算機株式会社に対し、漏えいした個人情報の詳細の報告を求めた。

※ カシオ計算機株式会社の対応窓口

お客様情報相談窓口：0120-302346

　（フリーダイヤル、受付時間：平日 9時00分～17時30分）

カシオホームページ窓口：　https://www.casio.com/jp/information/1018-incident/

　＊「ClassPad.net」のアプリとは、タブレット端末やパソコンから参考書などを利用できるサービスで、辞書機能や数学ツール機能等がある。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】森永乳業株式会社 お客さま情報の不正持ち出しに関するお詫びとお知らせ

森永乳業株式会社が過去に牛乳宅配サービスのテレマーケティング業務を委託していた株式会社ＮＴＴマーケティングアクトＰｒｏＣＸ（以下、「ＮＴＴ-ＭＡ社」）において、同社が利用するコンタクトセンタシステムを提供するＮＴＴビジネスソリューションズ株式会社（以下、「ＮＴＴ-ＢＳ社」）の同システムの運用保守業務従事者（元派遣社員）が、お客さま情報を不正に持ち出したことが分かりました。

なお現段階では、第三者に流出した事実は確認されておりません。

このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

１．本件の概要

ＮＴＴ-ＭＡ社が利用するコンタクトセンタシステムを提供するＮＴＴ-ＢＳ社の同システムの運用保守業務従事者が、お客さま情報を不正に持ち出しました。

当社は一部の森永牛乳販売店より業務委託を受け、ＮＴＴ-ＭＡ社に電話による牛乳宅配サービスの紹介業務を委託していました。

ＮＴＴ-ＭＡ社およびＮＴＴ-ＢＳ社より、2023年10月16日にお客さま情報の不正持ち出しについて報告を受けて判明しました。

（１）不正に持ち出された件数

　　　お客さま情報：約34万件（現時点判明分）

※2016年3月9日までに牛乳宅配サービスのテレマーケティング業務を委託したお客さま情報

※現段階では、第三者に流出した事実は確認されておりません。

（２）持ち出されたお客さま情報の内容

　　　氏名、電話番号、郵便番号、住所、等

※クレジットカード情報及び金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

２．今後の対応と再発防止策について

　　今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて対応してまいります。

　　現在、ＮＴＴ-ＭＡ社への業務委託は行っておりませんが、同様の事態が再び発生しないよう、今後、業務委託先を含め個人情報管理体制の強化を進めてまいります。

３．お客さまへのご対応について

　　本件に関しましては、継続して調査をいたします。

　　今後新たな事実が判明いたしましたら、その結果を踏まえ、適切な対応を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】株式会社山田養蜂場 業務委託先企業の元派遣社員による お客様情報の不正流出についてのお詫び

弊社がテレマーケティング業務の一部を委託しております、株式会社 NTT マーケティングアクト ProCX（本社：大阪市 以下、NTT マーケティングアクト ProCX）から、同社が再委託先として利用していたシステム運用会社 NTT ビジネスソリューションズ株式会社（本社：大阪市）の派遣社員が、2013 年 7 月から2023 年 1 月にわたり、個人情報を不正に取得して漏洩し、システム運用会社に警察の捜査が入ったとの報告を受けました。

＜対象となる情報の内容と件数＞

（１）不正に持ち出された可能性がある情報：

弊社お客様の ①氏名 ②住所 ③電話番号 ④生年月日 ⑤性別、の５つの情報

※クレジットカードやマイナンバーなどの、直ちに経済的被害につながる情報流出はございません。

（２）不正に持ち出された可能性がある情報の件数と期間：

2016 年 2 月～2023 年１月の期間に約 400 万件の漏洩と報告を受けておりますが、現在、詳細情報を確認中です。 

現在、情報漏洩の恐れがあるお客様の特定作業を鋭意続けており、対象となるお客様が特定でき次第、個別にご連絡をいたします。今回の事態を重く受け止め、再びこのようなことがないよう、委託先の管理を含め、より一層の管理体制の強化に努め、真摯に対応してまいります。何卒ご理解のほど、謹んでお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】町田市保険年金課がお預かりしている個人情報の流出について

町田市保険年金課が、2015年度に特定健康診査の受診勧奨業務を委託していた株式会社NTTマーケティングアクトProCX（以下「ProCX社」という。）において、ProCX社が利用するシステムの保守会社NTTビジネスソリュ―ションズ株式会社の元派遣社員が、個人情報を不正に持ち出し、第三者に流出させていた可能性があることが判明しました。

現在ProCX社に対しては、流出データの特定と詳細情報の提供を求めています。

市民の皆様におかれましては、不審な電話や訪問者等にご注意くださいますようお願い申し上げます。

新たな情報が入り次第、このページでお知らせいたします。

流出した可能性のある個人情報等

該当条件及び個人情報が流出した人数

2015年度末時点の年齢が40歳以上74歳未満で、2015年度の町田市国民健康保険特定健康診査が未受診であった方のうち、約8,000人

個人情報の内容

氏名、住所、電話番号、性別、生年月日、保険証の記号番号、2014年度特定健康診査の受診の有無

なお、クレジットカード情報、金融機関口座情報及び特定健康診査の結果は含まれません。

NTTマーケティングアクトProCX・NTTビジネスソリューションズの特設コールセンター

ProCX社は、全国で59団体、約900万件に及ぶ今回の不正流出について、2023年10月17日に報道発表をしており、市民の方の問い合わせ先として、委託業者が特設コールセンターを開設しています。

電話番号

0120-220-614

受付時間

9時から20時まで

年末年始を除く、平日及び土日祝対応です。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-418】千葉県 不正アクセスによる個人情報漏えいについて

 

カシオ計算機株式会社のICT 教育アプリ「ClassPad.net（クラスパッド ドット ネット）」 のシステムへの不正アクセスによって個人情報漏えいの報道が昨日ありました。その後県立学校職員及び生徒の個人情報が含まれると当該企業から報告がありました。

1 概要

カシオ計算機株式会社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果そのデータベースに含まれていた県立学校職員及び生徒の個人情報が漏えいしました。

2 経緯

令和5年10月11日（水曜日）夕方、カシオ計算機株式会社担当者が開発環境での作業を試みた際にデータベースに障害が発生していることが発覚し、カシオ計算機株式会社が事態を把握しました。10月18日（水曜日）17時54分、カシオ計算機から学習指導課に本件について報告がありました。

3 カシオ計算機株式会社が把握している漏洩した個人情報

1 氏名

2 メールアドレス

3 国/地域

4 学校名・学年・学級名・出席番号（学籍番号）

5 購買に関する情報（注文明細、決済手段、ライセンスコードなど）※クレジットカード情報は保持しておりません。

6 本サービスの利用履歴やニックネームなど

• 現時点でカシオ計算機株式会社から報告のあった対象となる件数
  県立高校11校・1団体の氏名696人分及びメールアドレス675件

4 教育委員会の対応

カシオ計算機株式会社に流出した個人情報の詳細な報告を求めています。

すべての県立学校に、当該事案の周知をしていますが、現時点では不正利用等の被害の発生は確認されていません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】千葉市 委託事業者による個人情報の流出可能性事案の発生について

千葉市において、国民健康保険被保険者情報が流出した可能性があることが判明しましたので、お知らせします。

市民の皆さまへ多大なご心配をおかけしておりますことにお詫び申し上げます。

なお、このことに関して、現時点で市や事業者から電話などでご連絡することはありません。詐欺等に十分ご注意ください。

１　概要

平成２７年度に本市が実施した国民健康保険被保険者の特定健康診査未受診者電話勧奨業務について、株式会社ＮＴＴマーケティングアクトＰｒｏＣＸ（以下、委託事業者という）に委託したところ、委託事業者が運営に当たって利用したコールセンターシステムの保守事業者であるＮＴＴビジネスソリューションズ株式会社において、当該システムの運用保守業務に従事していた元社員（１人）が、不正に個人情報を取得し、第三者に流出させた可能性がある旨、１０月１６日（月）に委託事業者から報告がありました。

＜参考＞特定健康診査未受診者電話勧奨業務について

４０歳から６５歳までの国民健康保険被保険者を対象に、生活習慣病予防を目的に実施している特定健康診査の前年度未受診者に対し、電話により受診勧奨を行うもの。

２　委託期間

平成２７年９月３０日～平成２８年２月２９日

３　流出した可能性のある個人情報

平成２７年度中に特定健康診査の対象となった国民健康保険被保険者情報　

約５万件分（住所、氏名、氏名カナ、性別、年齢、電話番号）

４　対応状況等

・１０月１７日（火）午後に委託事業者が記者会見を行い、本事案を公表しています。

　　※委託事業者は以下の通り相談窓口を開設しています

　　　　株式会社ＮＴＴマーケティングアクトＰｒｏＣＸ　お客様相談窓口

　　　　電話　０１２０－２２０－６１４（受付時間　９時～２０時）

・市における個人情報の流出可能性事案に関して、１０月１７日に個人情報保護委員会に報告しています。

・今後、委託事業者の社内調査で得られた電話番号データと本市が所有する情報を照合し、流出した人数を確定する予定です。流出した恐れのある方に対してのお知らせ方法に関しては、現在検討中です。決まりましたら、こちらのホームページで公開します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-416】福岡県 委託業務による個人情報の漏えい等事案について

１　概要

本県が、自動車税に係るコールセンター業務を委託した株式会社ＮＴＴマーケティングアクトＰｒｏＣＸ（以下「Ａ社」という。）のコールセンターシステムの保守業者であるＮＴＴビジネスソリューションズ株式会社において、元社員（１人）が不正に個人情報を取得し、流出したことが発覚しました。

このため、Ａ社から10月13日(金)に本県に事案概要を報告されたもの（現在、警察による捜査中）。

＜委託期間＞

　平成27年度　平成27年６月11日～９月30日

　平成28年度　平成28年６月９日～９月25日

　平成29年度　平成29年５月31日～９月25日

　平成30年度　平成30年６月６日～10月15日

　令和元年度  令和元年５月31日～10月15日

２　漏えいした可能性のある個人情報

自動車税に関する納税者情報　最大約１４万人分※

（氏名、電話番号、郵便番号、住所、年齢、生年月日）

※　人数については、Ａ社の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

３　対応

Ａ社は本日、相談窓口を設置するとともに、プレスリリースを行う。

Ａ社からの情報については、随時、県ＨＰにて周知を行う。

県は本日、個人情報保護委員会に報告。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-413】積水ハウス株式会社 弊社委託先企業におけるお客様名等の外部漏えいの可能性について

弊社が換気基礎捨て水切などの製造を委託しております山口金属曲板工業株式会社（本社：大阪市阿倍野区、以下「山口金属曲板工業社」）小郡事業所（山口県山口市）の生産システムサーバーがランサムウェアに感染し、不正に暗号化されたことにより、弊社部品の発注データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。お客様をはじめ多くの関係者の皆さまにご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。

【概要】

• 9 月 19 日、弊社委託先の山口金属曲板工業社から、同社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になったとの連絡を受けました。サーバー内には、過去 15 年分の弊社部品の発注データが存在しており、当該データの中に、お客様の氏名（一部の方は建築地住所を含む）が含まれておりました。当該データについては外部に漏えいした可能性があります。
• 生産システムについて代替手段を講じたことにより、弊社委託業務への影響は生じておりません。
• 本件に関しては、弊社より個人情報保護委員会に報告をするとともに、山口金属曲板工業社より所轄警察署への相談を行っております。

【漏えいした可能性のある情報及びお客様への対応】

漏えいした可能性のある情報の範囲及び項目等につきましては、以下のとおりです。

・対象範囲：

弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日～2023年 10 月 23 日の間に着工または着工予定のお客様

・項目：

氏名のみ 109,406 件

氏名及び建築地住所 1,261 件

・二次被害の有無：現在、お客様の氏名等の不正利用は確認されておりません。

※弊社発注データにお客様の情報が含まれていることが確認でき次第、順次郵送もしくはメール等でご連絡をいたします。そのため、ご連絡までに時間を頂く可能性がございますが、何卒ご容赦ください。

【原因及び再発防止策】

• 本件は弊社委託先の生産システムサーバーの脆弱性により、ランサムウェアに感染したことが原因です。当該委託先においては保守ベンダーの変更等のセキュリティ向上施策を行いました。
• 現在、弊社の生産調達部門の全委託先に対し、システムサーバーに対するウイルスチェックの実施要請を行い、状況の確認を進めております。また、委託先に存在する過去の発注データをネットワーク外で管理することや、データを削除することも要請いたしました。今後、委託先の情報セキュリティに関する監督強化の施策を行い、発注データの仕様変更等の対策を実施しますとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-408】愛知県 「Ｘ投稿プレゼントキャンペーン」における個人情報の漏えいについて

昨日（10月12日（木曜日））、愛知・名古屋大河ドラマ展実行委員会（県と名古屋市で構成）が実施した「Ｘ（旧Twitter）投稿プレゼントキャンペーン」において、当選者のうち9名分の個人情報が漏えいする事案が判明しました。

　キャンペーン当選者の皆様を始め、関係者の方々に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

（参考）「Ｘ投稿プレゼントキャンペーン」について

期間：2023年8月19日（土曜日）から9月24日（日曜日）まで

内容：名古屋城金シャチ横丁の土産店「鯱上々」で、「家康」をテーマに写真を撮り、「鯱上々」内に隠されたキーワードとともにＸに写真を投稿した方のうち、抽選で100名の方に、Amazonギフトカード2,000円分をプレゼントするキャンペーン。

実施：愛知・名古屋大河ドラマ展実行委員会が株式会社ジェイアール東日本企画中部支社に委託して実施。

1　漏えいした個人情報​

　同キャンペーンの当選者のうち9名分の氏名、Ｘアカウント名及びメールアドレス

※同キャンペーンの当選者100名のうち最初の13名に対して、10月11日（水曜日）午後10時37分にダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、10月12日（木曜日）午前9時49分までに入力を行った9名の方の情報が相互で閲覧可能な状態にありました。

2　原因

　大河ドラマ展ＰＲ業務の受託者である株式会社ジェイアール東日本企画中部支社（名古屋市中村区）が、同キャンペーンの当選者に対して送信した、景品（ギフトカードのシリアル番号）の送信先の入力フォームの設定に誤りがあったため。

3　経緯と対応

10月11日（水曜日）午後10時37分

同キャンペーンの当選者のうち最初の13名に対して、Ｘのダイレクトメッセージで入力フォームを送付し、景品の送付先に関する情報の入力を依頼した。

10月12日（木曜日）午前0時47分から午前9時11分まで

入力フォーム登録者全員の登録情報（氏名、Ｘアカウント、メールアドレス）が閲覧できる旨の報告が、当選者から3件寄せられた。

10月12日（木曜日）午前9時49分

受託者である株式会社ジェイアール東日本企画中部支社において確認したところ、個人情報の漏えいが確認されたため、管理者のみが閲覧可能な状態に設定を変更した。

10月12日（木曜日）午後7時から

個人情報が漏えいした入力フォーム記入者9名全員に対して、謝罪した。

 4　再発防止策

​　今回の事案を踏まえ、同様の事案が発生しないように、個人情報の適切な管理及び取扱について受託者を指導するとともに、県においても、業務期間内の受託者の管理及び取扱状況を確認することによりチェック体制を充実させ、再発防止を徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-406】JR東日本ホテルメッツ 五反田 不正アクセスによるお客様の個人情報流出の可能性及びフィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ

 

この度、JR東日本ホテルメッツ五反田におきまして、当ホテルで利用しているooking.com社（本社：アムステルダム（蘭））の宿泊予約情報管理システム（以下、管理システム）が不正アクセスを受け、一部のお客様の個人情報が流出した可能性を否定できない事態が発生いたしました。

また、悪意のある人物により一部のお客様に対してフィッシングサイト（※）へ誘導するメッセージが配信されたことを確認いたしました。

詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信した場合、記載されたURLリンクへアクセスされませんよう、お願い申し上げます。

※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。

１．事象の経緯

2023年10月5日（木）16時過ぎより、Booking.com経由でご予約いただいたお客様から、フィッシングサイトへ誘導するメールが届いているとのお問い合わせが当ホテルに寄せられたことで、管理システムが不正アクセスを受けたことが判明いたしました。

これを受けて、当社は直ちに管理システムへのログインパスワードの変更を行うとともに、Booking.com社経由の新たな宿泊予約の受付を停止する対応を行いましたが、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。不正アクセスの原因等については、現在当社及び関係機関において調査中です。

なお、Booking.com社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。

２．お客様への対応

お問い合わせいただきましたお客さまには、状況をご説明のうえ、記載されたURLリンクへのアクセスをされないようご案内しております。また、Booking.com社経由でご予約いただいたお客様へは、同内容の注意喚起のご連絡を差し上げております。

３．今後の対応と再発防止策

現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。また、詳細が明らかになりましたら随時報告させていただきます。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-405】垂井町 歴史講演会当選者への連絡による個人メールアドレスの流出について

 

垂井町業務の委託事業者である株式会社ポニーキャニオン が、今和 5 年１０月５日（木）に送信した「垂井町歴史講演会にご当選の皆様」 において、誤って個人のメールアドレス２３６件が流出する事案が発生しましたので報告いたします。

１ 概要

垂井町 産業課において、歴史講演会の開催を企画し、業務を株式会社ポニーキャニオンへ委託しました。講演会の観覧希望者は応募制とし、開催日が近づいたことから、当選者の個人メールアドレスのみを委託事業者へ提供し、事業の概要及び注意事項を当選者へメール送信を行ったところ、誤って他人のメールアドレスが表示された状態で各個人あてに送信してしまったものです。

2 影響

送信先: ２３６名、流出対象者: ２３６名

3 経緯

１０月５日（木） 

午前１０時

委託事業者がメールを送信

午前１０時１０分

当該メールを受け取られた方から、メールアドレスが見られるようになっているとの電話が町へあった。確認したところ、誤って送信先全員を宛先（TO）で送っていたことが判明。町から委託事業者へ事故発生を伝える。

午前１１時４５分

委託事業者から対象者あて、お詫びとともに送信したメールを削除していただくようお願いする内容のメールを送信

10 月６日（金） 

午後１時３０分

町から対象者へお詫びと概要・経緯のメールを送信

４ 事案発生原因

委託事業者である株式会社ポニーキャニオンの担当者が、今回のメール送信にあたって、ダブルチェックなどの措置を行わず、一人で行ったことによるものです。

5 今後の対応

今回の件を重く受け止め、委託事業者に対し、情報セキュリティ対策を踏まえた業務執行体制の 確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-358】高知県 登録制ウェブサイトより個人情報が流出した事案の発生について

 

1.事案の概要

森づくり推進課がアジア航測株式会社に委託し、運営している登録制の「高知県スマート林業総合支援サイト」で公開したファイルの一部に個人情報を含むデータが掲載され、サイト利用のために登録されている事業者より一定期間（令和５年５月17日～８月24日）取得可能な状態となっていました。

2.流出した情報

流出情報：森林所有者氏名と一部の住所

人数：4,244人（うち　3,605人：旧仁淀村　638人：馬路村　１人：土佐市）

3.対応

• 当該ファイルにつきましては、「高知県スマート林業総合支援サイト」から削除し、サイト利用のために登録されている事業者が取得したファイルにつきましても削除を確認致しました。
  
  
• 情報流出の該当者へのお詫びを行ってまいります。
  
  
• 受託業者に対しては再発防止策の強化について指導を行っています。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-384】下仁田厚生病院 個人情報紛失のお詫びとご報告 2023/9/29

この度、下仁田厚生病院（以下「当院」という。）において、患者様の診療情報が保存された電子記録媒体（ＵＳＢメモリ）の紛失が判明いたしました。

当院といたしましては、今般の事案を重く受け止めており、該当する患者様をはじめご家族の方、日頃より当院をご利用いただいております皆様に対し、多大なるご迷惑とご心配をおかけすることに深くお詫び申し上げます。

今後におきましては、院内の個人情報対策を強化し、再発防止策の徹底に努めてまいります。

なお、現時点で、本件に係る個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。 

１．概要

当院では、医療事務を受託業者へ委託しておりますが、当該受託業者が診療報酬明細書点検業務を行うにあたり、院内において患者様の診療記録情報を保存している当院の端末から週１回の頻度でＵＳＢメモリを活用して受託業者が所有する端末にレセプトデータの移管作業を行っており、その過程において、所定の場所にＵＳＢメモリが無いことが判明し、院内を捜索したものの発見に至りませんでした。 

２．個人情報の項目

紛失したＵＳＢメモリには、令和５年６・７月分の外来患者様及び入院患者様２，０１３件分の診療記録情報が保存されておりました。

紛失した患者様の情報は以下のとおりです。

 ・氏名、性別、生年月日

 ・傷病名

 ・保険者番号

 ・被保険者証記号番号

 ・受診日等の診療行為情報

 ※患者様の住所や電話番号は含まれておりません

３．二次被害の可能性の有無とその内容

ＵＳＢメモリは院内での紛失と認識しており、外部に流出した可能性は低いと考えておりますが、レセプトデータには傷病名や診療行為といった要配慮個人情報を含みます。

第三者に流出した場合には患者様への不審な連絡が生じるなどの可能性が考えられます。 

４．再発防止策

受託業者に対し、十分な再発防止策を講じるよう指示しており、個人情報取り扱い規定の周知徹底、業務に直接携わる者以外も含めた個人情報取り扱いに関する再教育、及び定期的な監視・モニタリング体制の整備等に取り組み、委託元として管理監督を徹底して参ります。

また、当院の職員においても、同様に個人情報の取り扱いには十分に留意し、再発防止の徹底に努めてまいります。 

５．対応

 (1) 紛失への対応

本件発覚後、８月８日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律（平成１５年法律第５７号）」第２６条第１項の規定に基づき、所定の届け出を行いました。

 (2) 該当する患者様への対応

本件に該当する患者様に対し、９月２７日付で一連の経緯説明とお詫びの書面をお送りしました。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-208】日本国際協力センター 社会保険業務で使用する外部システムへの不正アクセスについて 2023/09/28

 

当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス（以下、「本事案」）を受け、サービス提供の停止を余儀なくされておりました。

このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。

１．事態の概要

　2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。

　①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム（以下、「エムケイシステム社」）社から2023年6月5日（月）に本事案に関する連絡を受けた。

　②2023年6月6日（火）に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。

　③個人情報保護委員会宛本事案の速報を行った。

　その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。

　不正アクセスによる侵害のため、登録データの「漏えいのおそれ（可能性）」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース（https://www.mks.jp/company/topics/）をご参照ください)。

　なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。

２．対象となり得る方

　当センターと雇用契約を締結したことのある方ならびにその被扶養者

３．対象となるデータの項目

　氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)

　（注）なお、マイナンバーは流出の恐れの情報範囲には含まれていません。

４．原因

　エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。

５．二次被害又はそのおそれの有無及びその内容

　エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-375】熊本県観光連盟の委託事業にて、委託先の日本旅行熊本支店がメール送信ミスでアドレスをお漏らしする。

2023年9月14日、熊本県観光連盟の委託事業において、電子メールの誤送信が発生し、59の事業者のメールアドレスが流出したことが公表されました。この誤送信の原因は、メールの送信形式の指定ミスで、本来「BCC」を使用すべき場面で「To」欄にメールアドレスを入力し、一斉送信してしまったことによります。

この誤送信を起こしたのは、熊本県観光連盟から委託を受けていた日本旅行熊本支店であり、熊本豪雨の被災地域支援を目的とした「くまもと行くモン旅割！」の運営・管理業務を担当していました。事業に関連する電子メールを事業者らに送信する際に、このミスが発生しました。

現在、このメールアドレスの流出による具体的な被害は報告されていません。日本旅行社は公式に謝罪を行い、熊本県観光連盟からは情報の適切な取扱いについての指導を受けています。

出典：被災地応援で誤送信、熊本県観光連盟の委託先がアドレス流出