株式会社ワコールアートセンター パソコン盗難による個人情報漏えいのおそれについて 2022年11月11日

このたび、弊社で個人情報漏えいのおそれがある事案が発生しましたためご連絡申し上げます。現時点では報告は挙がっておりませんが、今後お客様にご迷惑をおかけする可能性がありますこと、大変申し訳ございません。弊社としては全力を挙げてみなさまへのご対応と再発防止に取り組む所存です。何卒ご理解賜りますようお願い申し上げます。

■事故発生の概要

弊社が横浜市より運営業務を受託している象の鼻テラスにおいて、弊社の業務委託契約者が、2022年10月28日　午前8時50分ごろ、通勤電車内でパソコンの盗難に遭う事案が発生しました。弊社にて確認したところ、当該パソコンには次の個人情報が含まれておりました。パソコンにログインする際にはパスワードの入力が必要ですが、情報が漏えいするおそれもございますため、ご連絡させていただきます。

■漏えいするおそれがある個人情報等

現時点で漏えいするおそれがある対象の方は次のとおりです。

 

• 市民参加型ダンスイベント「ダンス縁日」参加グループ代表者様（152名）の氏名、住所、メールアドレス、電話番号

 

• 週末を中心に開催している「ZOU-SUN-MARCHE」 出店者様（302名）の氏名、住所、メールアドレス、電話番号、振込用銀行口座番号

 

• 当施設での催事実施に関わる運営、警備、設備設営等その他の関係者（64名）の担当者情報

 

上記518名の方に関しましては、2022年11月9日（水）よりメール又はお電話にてご連絡をさせていただいております。

■現在の状況

• 前述のとおり、当該パソコンにログインする際、一定の長さ・複雑さをもったパスワード入力が求められる設定としておりました。そのため、すぐに情報が漏えいするという状況に至ることは極めて少ないと考えております。

• 当該パソコンに操作履歴を取得するソフトをインストールしており、インターネットに接続されればその履歴の取得が可能です。現時点でインターネットに接続された形跡はございません。
  
  
• 当該パソコンが弊社社内ネットワークに接続する際の接続情報は変更済みです。過去のアクセス履歴からも社内ネットワークにある情報を持ち出された形跡はありませんでした。

■二次被害またはそのおそれの有無およびその内容

現在のところ二次被害の発生は確認しておりません。今後、何か状況に変化があれば速やかにご連絡いたします。

 

■当面の対応策

• 所轄の警察には盗難届を提出済みです。
• 引き続きネットワーク接続の有無を監視いたします。
• 個人情報保護委員会に当件について報告済みです。顧問弁護士とも相談のうえ、指示に従い対応いたします。

​​​​​​​■再発防止策

• パソコンを盗難・紛失しないための対策として、携帯時の行動ルールを総務省テレワークセキュリティガイドライン等に照らして今一度見直し、委託先を含め社内においてそれらを徹底します。

• 万が一、パソコンが盗難に遭った際の対策として、パスワードの二重化（ハードウェア、OSパスワード）・パスワード強度の見直しなどセキュリティ対策を強化します。
  
  
• パソコン内にはファイルを置かず、ファイルサーバに保存する運用とし、万が一、第三者にパソコンを起動されてもファイルサーバへのアクセスを断つことで、お客様の個人情報、機密情報を盗まれないようにいたします。

リリース文（アーカイブ）

株式会社リケン 当社サーバーへの不正アクセスに関するお知らせ（第四報） 2022年11月11日

当社サーバーへの不正アクセスに関しては、関係者の皆さま、お客さまはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

2022 年 7 月 19 日付「当社サーバーへの不正アクセスに関するお知らせ」、同月 26 日付「同（第二報）」及び 8 月 30 日付「同（第三報）」にて逐次状況をお知らせしてまいりましたが、その後の当社の状況と外部の専門調査会社による調査結果につき、以下の通りお知らせいたします。 

現時点で、本件にかかわる個人情報やお客さまの機密情報の不正利用等は確認されておりません。また、情報システム及び業務については正常化しており、既報のとおり全体として当社製品の製造に大きな影響は出ておりません。 

専門調査会社の調査結果によれば、今回の不正アクセスは、VPN 機器の脆弱性を悪用し、攻撃者が不正に窃取した当社システムの一部認証情報を使って当社システムに不正侵入、当社サーバー及びパソコンのファイル暗号化及び一部情報の窃取を行っていたものです。

当社は、不正アクセスの判明直後に社内サーバーをネットワークから遮断、不審ファイル有無を確認、OS 及びソフトウェアの最新化、最新ウイルス対策ソフトによるフルスキャン実施、パスワードポリシー強化等の対策を行いました。また、外部接続を監視する SOC サービスならびに機器の不正な挙動等を早期検知するEDRも強化・導入しております。

現在、社内サーバー、ネットワーク、システムは概ね復旧済みで、再度の不正アクセスへの対策は完了しておりますが、今後は更にネットワークアクセスの監視体制や認証方法を強化し、当社グループ全体での再発防止を末端まで徹底してまいります。くわえて、情報セキュリティ管理体制の再整備と組織改編、全役員従業員に対する情報リテラシー教育等を計画的かつ迅速に実施していくことにより、情報セキュリティへの組織全体での意識強化に努めてまいる所存です。 

なお、本件によるシステム障害が今年度の当社業績に及ぼす影響については、大きな影響はないものと考えておりますが、本件により、関係者の皆さま、お客さまはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを、改めて深くお詫び申し上げます。 

リリース文（アーカイブ）

株式会社女性モード社 個人情報漏えいに関するお詫びとご報告 2022年11月9日

この度、弊社が運営するWEBサイト「女性モード社WEBサイト」ならびに「meme mag（ミームマグ）」、アプリ「JOSEI MODE BOOKS」でご利用いただける会員ID（Eメールアドレス）等が不正アクセスにより漏えいし、一部の個人情報が外部へ漏えいした可能性があることが判明いたしました。

（本件は、2017年6月30日以前に登録された方が漏えいの対象となります）

お客さまならびに関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

内容および対応については以下のとおりです。

１．概要

2022年11月1日（火）第三者から当社宛に、会員ID（Eメールアドレス）等が漏えいしているという情報提供があり、翌11月2日（水）当社WEBサイトに登録されたお客さまの個人情報漏えいの可能性があることを確認し、調査を行なった結果、第三者の不正アクセスによるの情報漏えいであることが判明いたしました。

なお、現在のところ当該個人情報が不正に使用された事実は確認、報告されておりません。

２．漏えいを確認した情報及び漏えいの可能性がある情報

2017年6月30日以前に会員登録されたお客さまの会員ID（Eメールアドレス）とパスワードの組合せ7420件の情報漏えいを確認しております。また、その会員ID（Eメールアドレス）に紐づく一部の個人情報が漏えいした可能性がございます。なお、クレジットカード番号等の決済情報は、当社には保管しておりませんので、これに含まれておりません。

３．経緯および対応

2022年11月1日（火）第三者から当社WEBサイトのお問い合わせフォームより、会員ID（Eメールアドレス）等が漏えいしているという情報提供があり、即時WEBサイト上のログイン機能を停止いたしました。翌11月2日（水）より本件に関する調査を開始し、第三者による不正アクセスが2017年6月30日~2018年4月2日の間に行われたものであり、現在運用中のWEBサイトから漏えいしたものではないと判断いたしました。当時、システムに脆弱性があった事、現在はより安全性の高いサーバー及びシステムの変更を行うと共にセキュリティ対策強化を施した上で運営していることを確認しております。

４．お客さまへのお願い

万全を期すため、すべての会員の皆さまにパスワードの変更をお願いいたします。

また、他社サイト・サービスへの不正ログインを防止するため、弊社WEBサイトで登録されたEメールアドレス（会員ID）・パスワードと同じ組み合わせで登録されているWEBサービス等につきましても、第三者が容易に推測できないパスワードへの変更をお願いいたします。

11月1日（火）の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば漏えいの可能性がある時点でお客さまにご連絡し、注意を促したかったのですが、不確定な情報のままお伝えすることは混乱を招くことになり、お客さまへのご迷惑を最小限に食い止める準備を整えてからの告知が不可欠であると判断し、調査・対応に時間を要しました。なお、漏えい対象のお客さまにつきましては、漏えいの疑いが発覚したタイミングより、被害拡大防止の観点から当該サイトにログインができぬよう制限をかけさせて頂いております。

リリース文（アーカイブ）

田沢医院 電子カルテの不具合について 2022年11月01日

10月27日（木）に「ランサムウェア」の攻撃により、診療記録や予約情報が暗号化されてしまい、電子カルテシステムが使用できない状況となっております。

その為、紙カルテによる診察を行っているほか、予約をお取り頂いても、順番が前後してしまう影響が発生しております。

早期復旧を目指しておりますが、当面の間ご不便をおかけいたします。

なお、個人情報の流出は、現時点で確認されておりません。

ご迷惑及びご心配をお掛けいたしますが、ご理解ご協力のほど、よろしくお願いいたします。

リリース文（アーカイブ）

参考：田沢医院がランサムウェアに感染、電子カルテシステムに障害

ネクストリンクス株式会社 弊社ホームページへの不正アクセス改ざんに伴う情報流出可能性検証経緯のご報告とお詫び 2022年10月20日

 

この度、弊社ホームページに不正なページが存在するとの指摘を受け調査したところ、弊社ホームページの一部が不正アクセスにより改ざんされ、フィッシング詐欺に利用しようと試みられていたことが判明しました。また、弊社ホームページと同じサーバで運用しているメールサービスにも影響した可能性が発覚し、弊社メールアドレスでの送受信メールが漏洩した可能性があることが判明しました。なお、当該サーバは弊社内の環境と切り離されており、弊社内ネットワークやその他のサービスに影響を及ぼすことはございません。

現在、弊社ホームページにつきましてはセキュアな環境へ移設して再構成して公開しており、不正アクセスがあったサーバは運用を停止いたしました。また、メールにつきましては環境を変更して運用しており、現時点で個人情報等の流出は確認されておりません。

このような事態を招きましたことにより、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

弊社では、これまでも個人情報等の取扱い業務にあたっては、情報管理の徹底に努めてまいりましたが、更なるセキュリティ強化を目的に社長直轄のセキュリティマネジメント室を設置し、再発防止に全力で取り組んでまいります。

１．経緯

2022年8月26日

　20:47　委託先クラウドサービスセンター経由で「第三者より不審なWebサイトが公開されている報告あり」の連絡。

2022年8月29日

　13:00　調査により当Webサイトに脆弱性があることを確認。不正サイトの削除、パスワードの変更、サービスの変更等を実施。

　21:00　再度の改ざんを確認したためサービスを停止。

2022年8月30日

　21:02　サーバ動作異常。メールサービスからメール受信不可となる。

2022年8月31日

　09:00　社内環境でメールが取得できない事を確認。

　10:00　委託先クラウドサービスセンターへサーバの状況を連絡して、サーバを再起動するも起動せず→委託先へ原因調査を依頼。

2022年9月1日

　09:00　委託先クラウドサービスセンターから調査結果報告があり、必要なディレクトリが存在しないことが起動失敗の原因。

2022年9月2日

　　　　外部専門機関への協力要請

2022年9月5日

　　　　個人情報保護委員会、JIPDECへの報告

2022年9月30日

　　　　外部専門機関から調査結果の報告　　※調査結果報告書（アーカイブ）

2022年10月20日

　　　　セキュアな環境にてホームページを公開

２．流出の可能性があるデータ

対象

最大で、弊社が当該メールサービスの利用を開始した2014年10月から2022年8月31日まで（サーバ容量を考慮すると現実的には直近１年以内）の弊社メールアドレスでの送受信メール

項目

氏名、住所、電話番号、メールアドレス、メール本文または添付ファイルに含まれる情報

３．関係者様への対応

現在、情報の流出および不正利用等の報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールは開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。

４．今後の対応

今回の事態を厳粛に受け止め、ホームページとメールサービスの運用を分離し、より強力なセキュリティ機能を有する環境へ移行しました。

今後もセキュリティマネジメント室を中心に、さらなるセキュリティの向上に努めてまいります。

リリース文（アーカイブ）

大阪府 個人情報（電子メールアドレス）の流出について 2022年11月4日

大阪府立箕面支援学校において、大阪肢体不自由自立活動研究会（※１）（以下「研究会」という。）が主催する「第42回自立活動教育講演会」の参加者に対して、講演会のアンケートを依頼するメールを送信した際、参加者全員の電子メールアドレス（以下「アドレス」という。）が互いに見える状態で送信するという事案が発生しました。

このような事態を招きましたことを深くお詫びいたしますとともに、今後、再発防止に取り組んでまいります。

（※１）大阪肢体不自由自立活動研究会は、大阪府内の特別支援学校（肢体不自由）及び肢体不自由教育・研究機関に所属する教員等で構成される研究会。大阪府立箕面支援学校は、令和４年度に大阪肢体不自由自立活動研究会の事務局を務めている。

１ 流出した情報

・講演会参加者（※２）私用アドレス181名分

（※２）参加者は、府内特別支援学校教職員、市町村小中学校教職員及び市町村教育委員会職員。

２ 事案の経緯

８月９日（火曜日）

• 事務局の担当者が、講演会のアンケートを依頼するメールを参加者に一斉送信した。

９月16日（金曜日）

• 参加者から「アドレスが見える状態になっている。」と学校へ連絡があり、「宛先」欄にアドレスを入力して送信していたことが判明した。

９月20日（火曜日）

• 事務局の担当者から参加者に、メールで経緯説明及び謝罪を行った。

９月28日（水曜日）

• 校長が府教育庁に報告した。　

10月21日（金曜日）

• 事務局の担当者から参加者に、メールの削除依頼を行った。　

３ 流出の原因

• メールを送信する際に、アドレスを「Bcc」欄に入力すべきところ誤って「宛先」欄に入力した。
• 外部の複数名にメールを送信する際は、送信前にアドレス及び入力欄に誤りがないか複数人で確認することとしていたが、それを怠った。

４ 再発防止策

• 当該校及び研究会員に本件事案を共有し、個人情報の取扱い及び外部にメールを送信する際の誤送信の防止等に関することが記載された資料を配布し、注意喚起を行った。
• メール送信前には、すべてのアドレスが「Bcc」欄に入力されていることを必ず複数人で確認し、送信することを周知徹底する。
• 府教育庁から、全府立学校に対して、本件事案を周知するとともに、個人情報の取扱いについて万全を期すよう、注意喚起を行う。

リリース文（アーカイブ）

参考：大阪府立支援学校でメール誤送信 - 約1カ月後の指摘で問題把握

国立大学法人琉球大学 懲戒処分の公表について 2022年11月11日

このたび、本学職員に対して以下のとおり懲戒処分を行いましたので、公表します。

１． 被処分者： 教員

２．処分年月日： 令和４年１０月３１日

３．処分の内容： 停職３月

４．処分対象事案の概要：

被処分者は、同じ部局所属の元客員研究員のID とパスワードを使用して、本来研究者本人が受講すべき不正防止のための２つの教育プログラム(ｅ-ＡＰＲＩＮ、Ｗｅｂｃｌａｓｓ)を同研究員に代わって受講した。

また、被処分者は、その当時研究に全く従事しておらず、当面研究に従事する予定もなかった同じ部局所属の元職員から、科研費電子申請システムにログインするために必要なe-Rad のID とパスワードを聞き出したうえで、他人名義である元職員の名義で科研費の申請手続をした。

さらに、被処分者は、担当理事から、本件懲戒手続が開始された旨の告知を受けた際、口裏合わせや犯人捜しのようなことはしないように注意されたにもかかわらず、上記の元職員に対してLINEや電話で口裏合わせを依頼したり、調査内容を聞き出そうとする等の調査妨害行為を行った。

上記の被処分者の行為のうち、代理受講行為は「研究活動における不正行為に準ずる不適切な行為（国立大学法人琉球大学職員就業規則第54条第16号、第9号）」に、他人名義での科研費申請は「公的研究費の使用及び管理における不正な行為に準ずる不適切な行為（同条第16号、第10号）」に、調査妨害行為は「不正又は非違行為に関わる調査を妨害する行為（同条第15号）」の懲戒事由にそれぞれ該当し、停職３月の懲戒処分とするのが相当であると判断された。

５．学長コメント：

被処分者の行った不正行為等は、研究活動に携わる者として決して許されるものではありません。本学においてこのような事態が発生してしまったことは誠に遺憾であり、関係各方面に対して改めてお詫び申し上げます。

本学としては、今回の事案を真摯に受け止め、職員に対して改めて研究倫理に関するルールを遵守するように周知徹底するなどして、再発防止に取り組んでまいります。

リリース文（アーカイブ）

出典：琉球大学の教員　他人IDで研究費を不正申請

株式会社東京きらぼしフィナンシャルグループ グループ会社の利用するクラウドサービスへの不正アクセスについて 2022 年 11 月 8 日

当社は、当社グループ会社の綺羅商務諮詢（上海）有限公司（董事長 戸松 清秀、以下「綺羅商務諮詢」といいます。）の利用するクラウド型ファイルシステムにおいて、2022 年 11 月 7 日に第三者による不正なアクセスが検知されたことを確認いたしましたのでお知らせいたします。

同システムには、綺羅商務諮詢の社内情報および同社の提供するサービスをご利用いただいた法人のお客さまの情報が含まれており、現在、事実関係の詳細について調査を行っております。

現時点で判明している事項は以下のとおりです。

＜現時点で判明している事項＞

・綺羅商務諮詢が利用するクラウド型ファイルシステムにおいて、外部からの不正アクセスが検知された。

・同システムには、綺羅商務諮詢の社内情報および同社の提供するサービスをご利用いただいた法人のお客さまの情報が含まれており、不正アクセスによりデータが閲覧できない状態が続いている。

・現時点で、同システムからの情報漏洩は確認されていない。

事実関係の詳細につきましては引き続き調査を行い、本ホームページにてご報告いたします。

お客さまにご心配をおかけいたしますことを深くお詫び申し上げます。

リリース文（アーカイブ）

株式会社セブン＆アイ・クリエイトリンク 個人情報紛失についてのお知らせとお詫び 2022 年 10 月 25 日

拝啓 平素は格別のご高配を賜り厚く御礼申し上げます。

このたび、弊社が運営管理しておりますプライムツリー赤池において、お取引先様の従業員の皆様の個人情報が保存されたＵＳＢメモリを紛失したことが判明しました。事案の概要につきましては、下記のとおりでございます。

お取引先様ならびにその従業員の皆様には多大なるご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。今回の事案を重く受け止め、情報の厳正管理の徹底を図り、再発防止に努めてまいります。

１．紛失判明日

 2022 年 9 月 24 日（土）

２．紛失場所

 プライムツリー赤池ＳＣ管理事務所

３．紛失したお取引先従業員様の情報

 2019 年 9 月以降にプライムツリー赤池にて従業員登録をされた、テナント従業員の皆様、ならびに警備・清掃・設備保守・インフォメーション・会計業務・販促業務等を委託しておりました協力会社様の従業員の皆様の「氏名」「ユーザＩＤ」「所属番号」「資格情報」「ＩＤ番号」

お取引先様よりお預かりしている従業員の皆様の個人情報は「氏名」「生年月日」「性別」となります。紛失したＵＳＢメモリ内には、このうち氏名のみが記載されたデータを保存しており、当該データからは勤務先を知ることはできません。このデータは館内の電子錠を開錠するためのセキュリティーカードの発行に使用しておりました。

その他の情報は以下の内容となります。

「ユーザＩＤ」：登録作業順で付番される８桁の数字

「所属番号」 ：区画ごとに設定されている３桁又は４桁の数字（来店客には非公開）

「資格情報」 ：どの扉を開錠する権限があるかを示す２桁の数字

「ＩＤ番号」 ：過去発行して、作成時点で使用していないカードの番号(８桁)を付番

４．紛失した個人情報の数

 最大 3,274 名

 このうち、2022 年 10 月 2 日時点でプライムツリー赤池に在籍している 1,654 名の従業員の皆様へは、お取引先店舗責任者様を通じてご報告とお詫びをさせていただいております。同日付で在籍していない最大 1,620 名の従業員の皆様については、上記３．記載の通り当方にて個別のご連絡先等を把握していないことから「プライムツリー赤池の公式サイト」「セブン＆アイ・クリエイトリンクのコーポレートサイト」への公表をもってご報告とお詫びとさせていただきます。

５．紛失が判明した経緯および情報漏洩の可能性

2022 年９月 24 日（土）、弊社従業員が、セキュリティーカードの作成業務を行う際、当該業務専用ＰＣ（オフライン仕様）へのデータ移行用のＵＳＢメモリが所定の保管場所に無いことに気づきました。その後弊社従業員による捜索並びに関係者からの聞き取りなどを、数度に渡り行いました結果、発見に至らず紛失したものとの判断にいたりました。

なお、これまでに当該個人情報が不正に利用された事実は確認されておりません。

６．発生原因

• ＵＳＢメモリ等の外部媒体の使用や保管におけるルールの不徹底。
  
  
• データが適切に消去されていなかったこと（当該作業１回当たりにＵＳＢメモリに保存する個人情報は数十名様分で、本来このデータは作業完了時消去すべきところ、消去されることなくＵＳＢメモリの使用を開始した 2019 年９月以降のデータが蓄積された結果、大量のデータの紛失となりました）。

７．再発防止策

このたびの事態を厳粛に受け止め、再度全社員に個人情報の厳格な管理を改めて指導・徹底してまいります。

セキュリティーカードの作成業務においては、業務フローを見直しＵＳＢメモリ等の外部媒体の使用を禁止致しました。

その他業務におけるＵＳＢメモリ等の外部媒体の使用についても、管理体制の再構築とデータの保存や消去に関するルールの再徹底を行い情報管理の一層の強化を図ります。

リリース文（アーカイブ）

エスビー食品株式会社 クレジットカード情報漏えいに関するお詫びとお知らせ 2022年11月10日

このたび、弊社が運営する公式通販サイト「お届けサイト」上で利用するサービスを提供する株式会社ショーケース（以下ショーケース社）のシステムが第三者による不正アクセスを受けたことにより、お客様のクレジットカード情報（164 件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報が漏えいした可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022 年 7 月 28 日、ショーケース社より、弊社コーポレートサイト（https://www.sbfoods.co.jp）上でお客様の端末に合わせて画面表示を最適化するサービス（サイト・パーソナライザ）のシステムが第三者によって不正に改ざんされたことによるお客様のクレジットカード情報の漏えい懸念の報告を受けましたが、弊社では同サイトにはお客様のクレジットカード情報の入力を求める画面がないことから、同サイトは当該改ざんの影響がないことを確認いたしました。

その後 2022 年 8 月 16 日 、 ショーケース社より、「お届けサイト」（https://www.sbotodoke.com）におけるお客様のクレジットカード情報の漏えい懸念の報告を受けたため、2022 年 8 月 19 日に「お届けサイト」でのクレジットカード決済を停止いたしました。

ショーケース社の該当サービスの切り離しの後、「お届けサイト」の安全性を確認するため、第三者調査機関による調査を開始し、2022 年 10 月 15 日に「お届けサイト」に対する不正アクセスはなく、「お届けサイト」のシステム自体からは情報漏洩はなかったことを確認いたしました。

また、2022 年 10 月 19 日、ショーケース社に対する第三者調査機関による調査の結果、2022 年 7 月 19 日～2022 年 7 月 29 日の期間に「お届けサイト」で入力されたお客様のクレジットカード情報が漏えいした可能性があるとの報告を受け、一部のお客

様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の公表に至りました。

2.クレジットカード情報漏えい状況

(1)原因

ショーケース社が提供する「サイト・パーソナライザ」のシステムに対する第三者の不正アクセスにより、同サービスを利用する「お届けサイト」におけるペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2022 年 7 月 19 日～2022 年 7 月 29 日の期間中に「お届けサイト」においてクレジットカード情報を入力されたお客様 164 名で、漏えいした可能性のある情報は以下のとおりです。 

・クレジットカード番号

・有効期限

・セキュリティコード 

上記に該当する 164 名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げております。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022 年 8 月 16 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は弊社ならびにショーケース社に対する調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の公表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトにおけるクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「お届けサイト」におけるクレジットカード決済の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会へ 2022 年 8 月18 日に報告済みであり、また、所轄警察署にも 2022 年 10 月 3 日に被害の相談を行っており、今後の捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

ウーム株式会社 個人情報流出の可能性に関するお詫びとお知らせ 2022年11月10日

この度、ソフトウェア開発のプラットフォームである「ＧｉｔＨｕｂ」上で、当社グループ（グループ会社のP2C Studio株式会社、UUUM GOLF株式会社、NUNW株式会社、LiTMUS株式会社を含む、以下当社）の管理下全てのソースコードを取得可能な認証キーが公開状態にあり、ソースコードに含まれるデータベースへのアクセスキーを利用することでデータベースに保存されている個人情報へアクセスできる状態であったことが判明致しました。

当社のサービスをご利用されているお客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

今回の事象について、2022年10月25日付で個人情報保護委員会への報告を行った上で、個人情報へのアクセス有無について社内および外部機関による調査を進めてまいりましたが、アクセス履歴は確認されませんでした。

1.  経緯と対応

2022年10月21日、ソフトウェア開発のプラットフォームである「ＧｉｔＨｕｂ」の当社管理下全てのソースコードを取得可能な管理者権限を持つ認証キーが、当社が運営するWebサーバー内において閲覧可能な状態であることを確認致しました。

2022年6月19日以降2022年10月21日まで、この認証キーを利用することで第三者が「ＧｉｔＨｕｂ」上にある非公開を含む当社管理下全てのソースコードを取得することが可能であり、かつソースコードにあるアクセスキーを使いデータベースへアクセスすることで個人情報を閲覧・取得することができる状態にありました。

ＧｉｔＨｕｂ社提供のログ確認の結果、当社管理下のソースコードのうち、一部の外部向けシステム（CREAS、UUUM iD）、社内システム（集計システム、各種ユーティリティ）のソースコードへのアクセスが確認できました。

同日、直ちに「ＧｉｔＨｕｂ」にアクセス可能な認証キーを無効化し、その後、当社データベースへのアクセスキーの変更等を順次実施致しました。

また、ソースコード上のアクセスキーを用いて、個人情報へのアクセスの有無を調査いたしましたが、アクセス履歴は確認されませんでした。

2. 今回の原因について

当社の開発組織内で「ＧｉｔＨｕｂ」の認証キーの不適切な取り扱いがあり、強力な権限を持つキーを本番サーバーにアップロードしたことが原因です。

当社として個人情報を適正に取り扱うことは、重要な社会的責務であることを改めて認識し、個人情報保護とその管理を徹底するとともに、セキュリティ体制の強化を進めてまいります。

3. お客様へのお願い

11月10日時点で本件に関わる個人情報の不正利用は確認されておりませんが、当社を装う不審なメール等にはご注意くださいますようお願い申し上げます。

リリース文（アーカイブ）

株式会社日本ケーブルテレビジョン 不正アクセスによる当社ファイルサーバー等の障害のお知らせとお詫び 2022年11月9日

株式会社日本ケーブルテレビジョン（所在地：東京都港区、代表取締役：川島保男）は、11月6日（日）に当社のファイルサーバーおよび業務用PCへの不正アクセスを受け、個人情報を含む当社管理のデータが使用出来ない状況になりました。およそ7000人に及ぶ個人情報流出の可能性も否定できないため、現在、調査中です。なお、CNN放送と番組制作素材への影響はございません。当社に関係する皆さまに多大なご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。 引き続き調査を継続しておりますが、現時点で確認できている状況および当社対応は以下のとおりです。

１．現在、使用出来ない状況にある個人情報

（１）当社の採用に応募された方の個人情報（2020年10月～2022年7月まで）

（２）番組の出演者や番組スタッフの個人情報

（３）退職者含む従業員情報

２．現時点および今後の当社対応

本件につきまして、本日、総務省に報告いたしました。

このたびの原因などにつきましては、外部専門事業者の協力を得ながら引き続き調査を進めます。また、当社はこの事態を厳粛に受け止め、セキュリティー体制の厳格化や監視体制の強化を図り、再発防止に取り組んでまいります。当社に関係する皆さまに多大なご心配とご迷惑をおかけしますことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

株式会社アニメイトカフェ 「抱かれたい男1位に脅されています。」×DECOTTOコラボご当選者様への新予約システムのトラブルによるメールアドレス流出につきまして 2022年11月4日

2022年10月26日 15時17分頃、弊社の新予約システムより一斉送信したメールにつきまして、新予約システムのトラブルにより、他のお客様のメールアドレスが表示された状態で送信してしまいました。

この度は、弊社の不手際によりお客様へ多大なるご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。

10/31（月）11:00～11/2（水）21:00頃迄システムメンテナンスを行い、流出の原因となりましたシステム不具合の修正が完了いたしました。現在は正常な動作を確認しております。

このような事態を招いたことを重く受け止め、個人情報の取り扱いに対して厳重に注意すると共に、二度とこのような事態を招かないよう、再発防止に努めてまいります。

この度は、お客様へ大変なご迷惑をおかけしてしまい、誠に申し訳ございませんでした。

重ねてお詫び申し上げます。

リリース文（アーカイブ）

日本栄養士連盟 日本栄養士連盟会員管理システムへの不正アクセスによる個人情報流出の可能性のお知らせとお詫び 2022年11月8日

この度、第三者による会員管理システムへの不正アクセスが発生し、会員の個人情報が外部に流出した可能性があることが判明しました。

現時点で今回の不正アクセスによる個人情報の不正利用等は確認されていません。また、現在、調査を継続中です。

日本栄養士連盟会員の皆様には多大なご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

■不正アクセスにより外部に流出した可能性のある情報

対象：会員管理システム登録会員

項目：会員番号、生年月日、氏名、住所、電話番号、勤務先（一部）、メールアドレス（一部）

件数：全会員

■不正アクセスの事実関係

本日までの調査により、以下の事実が分かっています。

（1）侵入の日時

2022/5/10 の午前 2 時 19 分

（2）侵入の手口

会員管理システムの URL を侵入者が取得する。取得の経緯は不明である。

（3）侵入の経路

侵入者は侵入経路を秘匿するプログラムでアクセスしている。

（4）侵入者の行為

管理者 ID を使ってデータを持ち出している。

■現在までの対応

10/11 日本栄養士連盟に外部からの通報で発覚

10/13～11/7 警視庁、所轄警察へ届け出等

10/17 個人情報保護委員会への報告

10/21～11/7 弁護士に相談等

■セキュリティ対策

 システムセキュリティの最新化

 全 PW の運用全面変更

 異常検出の精度向上等を実施

■会員の皆様へお願い

万が一、不審な郵便物や電話を確認された場合は、警察への通報や国民生活センターへのご相談をお願いいたします。尚、不審なことがあった場合は、都道府県支部長を通して、日本栄養士連盟事務局へご一報をお願いいたします。

リリース文（アーカイブ）

株式会社ダイナムジャパンホールディングス 当社サーバーへの不正アクセスについて(第 3 報) 2022年11月1日

当社は、2022 年 9 月 14 日付け｢弊社サーバーへの不正アクセスについて｣及び同 9 月 30 日付け第 2報にて公表したとおり、当社の一部サーバーが第三者による不正アクセスを受け、当該サーバー内に保存されていたデータの一部が流出したことが判明いたしました。また、調査をすすめたところ、お客様の個人情報の一部について、流出は確認できないもののその可能性を否定できないことが新たに判明しましたので、お知らせいたします(現時点で本件にかかわる個人情報の不正利用等は確認されておりません)。

お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

1．概要

9 月 2 日当社が管理するサーバーに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。当社ではさらなる拡大を防ぐため、直ちに該当するサーバーを停止し社外ネットワークとの遮断を行ない、緊急対策本部を立上げ外部専門機関の協力のもとで不正アクセスを受けた範囲と状況・原因等の調査、復旧・セキュリティ対策を進めてまいりました。

2．調査の経緯

不正アクセス発覚後、直ちに警察へ被害相談を実施するとともに、個人情報保護委員会への報告を完了しています。また 9 月 30 日の第 2 報以降、新たに流出が確定した個人情報はありません。

その後も個人情報が外部に持ち出された可能性について外部専門機関による確認を進めましたが、新たな痕跡は現在まで確認されておりません。

しかしながら流出の可能性を完全に否定することは難しく、二次被害を防ぐことを最優先と考え、今回お知らせすることといたしました。

3. 現在の対応

個人情報の流出を確認できた方には、二次被害を防ぐため個別にご連絡を実施するとともに、お問い合わせ窓口の設置による対応を行っております。

4. 流出の可能性を否定できない個人データ

① 対象：

不正アクセスを受けたサーバーに保存されていたお客様、地権者様、取引先様、採用応募者、退職者、従業員に関する情報 331,005 件

※各社内訳は(株)ダイナム 129,628 件、夢コーポレーション(株)96,523 件、

(株)キャビンプラザ 1,816 件、(株)日本ヒュウマップ 76,193 件、

(株)ダイナムビジネスサポート 24,571 件、(株)ビジネスパートナーズ 139 件、

(株)ダイナムジャパンホールディングス 2,135 件

② 情報：

氏名、住所、電話番号、生年月日、性別、メールアドレス、口座番号等

※氏名、住所、電話番号、メールアドレスの複数情報で保存していたデータは

全体の 37％です。

※口座番号が確認された情報は(株)キャビンプラザの地権者様 36 件です。

※第 2 報の「流出を確認した個人情報」とは別の情報です。

5. 再発防止策について

 当社は、不正アクセスによるランサムウェア攻撃を受けたことを重く受け止め、セキュリティ体制を強化するため、外部の専門家を委員とした調査委員会を設置いたしました。これまでのセキュリティ体制を見直し、再発防止に向けて総力を挙げて取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、

重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

埼玉県 人権啓発研修会参加申込者の個人情報の誤掲載について 2022年10月29日

1 概要

• 令和4年10月28日(金曜日)19時40分頃、県の人権啓発研修事業の受託業者である株式会社フレッシュタウンは、インターネットの参加申込システムに不具合があったため、改修を行いました。
• その際、受託業者は、申込者が入力した情報がインターネット上で公開されてしまうという誤った設定を行ってしまいました。
• その結果、誤った設定後に入力をした参加申込者1名の氏名、メールアドレス、所属、電話番号が、同日20時30分頃までの50分間、インターネット上で公開される状況が発生しました。

2 対応

県は、個人情報が公開された研修会参加申込者1名の方に対して、所属先等を通じて訪問先を確認した上で面会をし、経緯を説明するとともに謝罪を行う予定です。

3 再発防止策

県は、受託業者に対し、システムを改修する際には複数による確認を徹底するなどチェック体制の強化を指導し、適切な事業の管理を図ってまいります。

リリース文（アーカイブ）

鹿児島県薩摩川内市で、DV被害者の個人情報をうっかり加害者にお漏らしする事件が発生。

薩摩川内市の田中良二市長は、２０２２年６月、ＤＶなどで支援が必要な被害者の個人情報の証明書が、誤って加害者に発行されたとして会見を開き、陳謝しました。この情報流出が原因で、被害者は転居しなければならなくなり、薩摩川内市は引っ越し費用などを支払って和解したことを明らかにしました。

薩摩川内市によりますと、２０２２年６月中旬、国のＤＶ等支援措置の対象となっている被害者の住所などの個人情報を記載した証明書が、誤って加害者に発行されたということです。

２０２２年６月初旬に、市民課内でシステムの更新作業が行われた際、個人情報の発行制限が解除されたものの、担当の職員が発行制限を元に戻すのを忘れていたことが原因としています。

２０２２年７月に被害者へ加害者から接触があり、情報流出が明らかとなったということです。

また、情報流出で被害者が転居を余儀なくされ、引っ越し費用など、和解金７０万２８００円を支払い、１０月２０日に和解したことも会見で明らかにしました。

薩摩川内市・田中良二市長

「全職員に注意喚起を図りますと共に、市政に対する信頼回復に全力で、取り組んでまいります。改めておわび申し上げます。誠に申し訳ございませんでした」

薩摩川内市では、今後、証明書の発行時には２重のチェックなどを行い、再発防止を図るとしています。

出典：被害者の個人情報がDV加害者に　情報漏えいで薩摩川内市長が陳謝・鹿児島県（アーカイブ）

出典：DV被害者情報が加害者に流出、一時的な制限解除がそのままに - 薩摩川内市

株式会社朝日工業社 業務用ノートパソコン及びスマートフォン紛失に関するお詫びとご報告 2022年10月19日

この度、弊社におきまして、業務用のノートパソコン及びスマートフォンを紛失する事故が発生いたしました。

お客様をはじめお取引先企業様、関係者の皆様に多大なるご心配、ご迷惑をおかけすることになりましたことを、心より深くお詫び申し上げます。

また、本件に関する経緯及び対応につきまして、下記の通りご報告申し上げます。

なお、紛失しましたノートパソコン及びスマートフォンは、当社内の監視システム等によるリモート調査を実施しておりますが、現時点で第三者による不正使用及び情報漏洩の事実は確認されておりません。

１. 紛失の経緯

2022 年 10 月７日（金）、弊社社員が電車で帰宅する際、業務用のノートパソコン及びスマートフォンが入ったカバンを車内に残したまま下車し、その後カバンを所持していないことに気付き、ただちに鉄道会社に通報するとともに、警察には遺失物届を提出しております。

また、当社内でも可能な限りの捜索を継続しておりますが、紛失したノートパソコン及びスマートフォンの発見には至っておりません。なお、紛失したノートパソコン及びスマートフォンにはログインパスワードを設定するなどのセキュリティ対策を講じております。

２. 紛失物に含まれていた情報

紛失したノートパソコンには、お客様への営業で使用する資料及びお客様とのメールの履歴が保存されていたことを確認しております。また、スマートフォンには、お客様の氏名、勤務先及び電話番号が登録されております。

３. 今後の対応・再発防止策

引き続き関係各所への情報収集に努めるとともに、紛失したノートパソコン及びスマートフォンの捜索に全力を尽くしてまいります。また、紛失しました資料等に関わるお客様につきましては、個別にご連絡、ご訪問いたしまして、ご報告とお詫びを順次行っております。

再発防止に向けましては、業務用のノートパソコン及びスマートフォンの使用上の社内ルールを厳格化するなど、情報管理体制を見直すとともに、全役職員を対象に定期的な教育、指導を徹底して進めてまいります。

リリース文（アーカイブ）

東京化成工業株式会社 /東京化成販売株式会社/ TCIケミカルトレーディング株式会社 不正アクセスによる個人情報等流出の可能性に関するお詫びとご報告 2022年11月1日

平素は格別のご高配を賜り、厚く御礼申し上げます。

弊社は6月23日に、弊社米国子会社のシステムに外部からの不正なアクセスを確認致しました。速やかに外部専門家の協力を得ながら、アクセス防御と被害状況調査を開始しましたが、調査を進める中で、日本を含む弊社グループが保管している企業情報及び個人情報の一部が流出した可能性があることを6月27日に確認致しました。

今般、監視や検知をすり抜ける高度な手法で攻撃を受けましたが、不正アクセスを受けた社内サーバー等のマルウェア駆除は終了し、感染の恐れのある全てのIT環境を徹底的に調査、安全確認を行った結果、7月11日に社内システムの全面再稼働に至りました。

また、サイバー攻撃を専門とする外部インシデントチーム等外部専門家の助言・監督の下、初期対応に加え、技術的対策、組織的対策の両面から、セキュリティ及び個人情報保護対策の強化策を順次しております。他方、公的機関に対しましても、6月27日には相談窓口に連絡を入れ、7月6日に個人情報保護委員会、7月8日に所轄警察署へ届出を行いました。

現時点でも情報流出の事実は確認されておりませんが、流出した可能性のある個人情報等について、以下の通りご報告させていただく次第でございます。

流出の可能性がある個人情報(個人情報の保護に関する法律第2条第1項)等は以下のとおりです。

• 取引先の情報： 約1,200件　個人情報　約7,000名分
• 情報の種類：会社名、会社住所、担当者氏名及びメールアドレス、電話番号等の連絡先等

引き続き、個人情報保護委員会、所轄警察など、関連公的機関と連携しながら、次の強化改善策を進めてまいります。

1.技術的な改善策

• ネットワーク構成を含む、ＩＴインフラのグローバル最適化及び、監視機能の強化。
• サイバー攻撃の監視、検知・ブロックの強化及び、運用ルールの改善。

2.人的な改善策

• 標的型メール訓練の実施、社員教育の実施強化

3.流出情報公開の監視

• 外部専門家に助言していただいた情報流出関連公開サイトを中心に、当社の流出情報が公開されていないことを監視継続しております。情報流出公開が確認された場合は、速やかに、上記、関連公共機関と連絡をとりながら、適切な対応を行います。

弊社としましては、説明責任の観点から不完全な情報にてお伝えすることで、皆様の誤解や不安を招く恐れがあるため、内容を精査のうえ周知する方法を選択しました結果、ご報告までに時間を要してしまいました。大変申し訳ございません。

このような事態を招きましたことにより、皆様に多大なご迷惑とご心配をお掛けしておりますことを心よりお詫び申し上げます。

弊社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めると共に、不正アクセスなどの犯罪行為には厳正に対処して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2022】杉並区 区職員が住民基本台帳法違反容疑で逮捕されました 2022年11月7日

2022年11月5日、区職員が住民基本台帳法違反の容疑により逮捕されました。

現時点でお伝えできる内容を以下のとおり公表いたします。

1.事案の概要

本年2月28日に、「区職員が、住民基本台帳ネットワークシステムを不正に検索して得た個人情報（氏名、生年月日等）を外部の者に漏えいしている」として、被害を受けたとする者の氏名等を記載した文書が区に送達されました。

これを受け、同日、住民基本台帳ネットワークシステムの検索履歴を調査したところ、同一職員が被害を受けたとする者の検索を行っていたことが判明し、3月1日に当該職員に対する聞き取りを行いましたが、当該職員の返答は、「検索した記憶はなく、不正行為は一切行っていない」とのことでした。

このため、区は3月2日に警察へ相談し、その後の警察による捜査が行われた結果、本日、警察から公表されたとおり、区職員が住民基本台帳ネットワークシステムから個人情報を漏えいしたことに伴う住民基本台帳法違反容疑により逮捕されることに至ったものです。

2.逮捕された区職員

区民生活部　文化・交流課　主事（事務）　市川 直央（いちかわ なおひさ）　32歳

（注）本事案は、当該職員が区民生活部区民課に在籍していた令和3年度に発生したものです。なお、令和4年3月1日以降、当該職員は個人情報を取り扱う業務は行っておらず、同年4月に現在の部署に異動しています。

岸本聡子杉並区長のコメント

本日、区職員が、住民基本台帳法違反容疑により逮捕されました。このことについては、個人情報の安全かつ適正な管理に重大な責任をもつ基礎自治体の長として、大変重く受け止めなければならないと考えております。

区といたしましては、再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行ってまいります。

リリース文（アーカイブ）