【セキュリティ事件簿#2023-404】ART MON ZEN KYOTO 弊社InstagramとFacebookアカウントについてのお詫びとご報告


いつもART MON ZEN KYOTOをご愛顧賜りまして誠にありがとうございます。

2023年9月27日 、弊社Instagramアカウント@hotel_art_mon_zen_kyotoと
FacebookアカウントART MON ZEN KYOTOが、第三者により不正アクセス及び乗っ取り被害を受けていたことが判明いたしました。
以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について
弊社Instagramアカウント@hotel_art_mon_zen_kyoto と
弊社FacebookアカウントART MON ZEN KYOTOに
おきまして悪意ある第三者による不正アクセス及び乗っ取り被害が発覚いたしました。
2023年9月27日以降、弊社からインスタグラムやFacebookを使用して投稿することやダイレクトメッセージをお送りすることはございません。 
万が一ダイレクトメッセージ等、弊社を装った連絡や弊社への誘導を装うURLがあった場合には開かれませぬようお願いいたします。
また開かれた場合にはスパムの恐れがございますので内容に従わないよう、ご注意くださいませ。
インスタグラムやFacebookにつきましては、被害の報告と解決のリクエストを運営会社に現在依頼中でございます。

対処について現在、再発防止のため原因の調査および、各ソーシャルメディアアカウントの
運用ポリシーの精査を行っております。

お客さまにはご迷惑とご心配をおかけし、誠に申し訳ございません。
今回の不正アクセスを防止する緊急対策として、直ちにWebサイトのセキュリティを強化いたしました。
お客様にご心配をお掛けいたしましたこと、心よりお詫び申し上げます。

全社一丸となって、お客さまの信頼回復に努めてまいりますので、引き続きご利用いただけますと幸いです。

今後とも宜しくお願い申し上げます。

Labels:

【セキュリティ事件簿#2023-403】株式会社マウンハーフジャパン 「MHJストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「MHJストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報23,309件を含む個人情報最大25,326件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年7月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年7月27日弊社が運営する「MHJストア」でのカード決済停止およびストアの閉鎖をいたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年8月27日、調査機関による調査が完了し、2021年3月2日~2023年7月18日の期間に 「MHJストア」で書籍の購入や検定・講座をお申込みされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。7月18日までの期間となる理由は、2023年7月18日に「MHJストア」は異なるプラットフォームを使用した新ストアへリニューアルをおこなっているためです。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

 弊社が運営する「MHJストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月21日~2023年7月18日の期間中に「MHJストア」においてクレジットカード決済をされたお客様23,309名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

過去に当サイトをご利用いただいたお客様最大25,326名で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・住所、郵便番号
・電話番号
・メールアドレス
・購入履歴
・性別
・生年月日
・会社名(任意入力項目)
・FAX番号(任意入力項目)


上記(2)(3)に該当する25,326名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社へ依頼しております。

4.公表が遅れた経緯について

2023年7月27日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことといたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、また、所轄警察署にも2023年9月8日被害申告をしており、今後捜査にも全面的に協力してまいります。

6.現在のMHJストアについて

不正アクセスを受けたオンラインショップは2023年7月18日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行ないました。不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて運営を再開する所存で御座いますので、ご迷惑をおかけしますが、今しばらくお待ちください。再開次第当サイトにてお知らせ申し上げます。

Labels:

【セキュリティ事件簿#2023-402】ハッキング被害に見舞われた日出町社会福祉協議会: メールアドレス流出とウェブサイトのダウン

 

日出町社会福祉協議会は、サイバー攻撃の対象となり、大きなデータ漏洩事故が発生しました。この攻撃により、約500件のメールアドレスが不正に流出しました。流出したメールアドレスの中には、協議会が提供する介護や子育て支援事業を利用していた個人の情報が含まれていたとされています。この事態は、協議会のホームページが利用できなくなるという結果をもたらしました。協議会の職員は、この問題に対処するために追われています。

協議会によれば、流出したメールアドレスの中には名前を含むものが15件あり、これらのメールアドレスは一時的にインターネット上の掲示板に公開されていました。この事件は協議会にとって予期せぬものであり、藤本英示事務局長は、「まさかうちの社会福祉協議会のサーバーにこのような攻撃を受けるとは全く予測していなかったので非常に驚いている」とコメントしています。

この事件は9月20日に発覚し、現時点で二次被害は確認されていないとのことです。協議会はこの事件に関する調査を急ピッチで進めており、今後の対応策を検討しています。さらに、協議会は利用者に対して個人情報の流出を通知し、関係者には注意を喚起しています。

協議会のウェブサイトは、この記事を執筆する現在も利用できない状態が続いています。これにより、協議会のサービスへのアクセスが困難になり、利用者にとっては大きな不便が生じています。協議会はウェブサイトの復旧を急ぎ、さらなる被害の拡大を防ぐために努力を続けています。

出典:日出町社協にサイバー攻撃「まさかうちが」メールアドレス約500件流出 HPも利用できない状態に 大分

Labels:

【セキュリティ事件簿#2023-401】秋田書店 当社Webサーバへの不正アクセスについて

 

このたび、当社が管理運用するWebサーバにおきまして、第三者による不正アクセスを受け不正なメールフォームが設置されていたことが判明しました。

すでに当該Webサーバにて運用しておりましたWebサイトは閉鎖しておりますが、フィッシング詐欺メールに利用されていた可能性があることを確認しております。

なお、当該Webサーバには個人情報に関連するデータを扱っておらず、このたびの不正アクセスにおける個人情報の流出はございません。

今後、新たに報告すべき事項が判明次第、速やかにお知らせし、被害拡大の防止及び再発防止に向けて対応して参ります。

関係する皆さまには、多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-394】双日株式会社 当社元社員の逮捕について

 

本日、当社元社員が不正競争防止法違反の容疑で警視庁に逮捕されたと発表がありました。

このような事態に至り、お客様や株主などステークホルダーの皆様に多大なご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。

当社グループでは、かねてより、その持続的な成長と企業価値の向上のためにはコンプライアンスを徹底することが不可欠であると考え、特に、情報管理に関しては、キャリア入社社員に対して、前職で業務上知り得た機密情報を当社に持ち込まないことについて明記した誓約書を入社時に差入させるなどの未然防止および社員の教育と啓蒙に努めてまいりました。そのような中、このたび、上記元社員が、前職企業から情報を不正に持ち出したとして逮捕されたことは極めて遺憾です。当社で調査した結果、上記元社員に情報の持ち出しを指示したなどの事実、および情報を当社事業に不正に用いたとの事実など、組織的関与は把握しておりません。

しかしながら、引き続き捜査に全面的に協力するとともに、事態を重く受け止め、再発防止に向けたいっそうの取り組みを実施してまいります。

リリース文アーカイブ

Labels:

【恥ずかしい話】JAL Global WALLET(現:JAL Pay)を徹底的に活用できていなかったことを今更知る。

JAL Global WALLET(現:JAL Pay)は賛否両論あるが、個人的には住信SBIネット銀行(JAL支店)と組み合わせて使うことでそれなりにメリットがあると思っている。

特に自分の場合、海外に行った際の現金調達はクレカのキャッシング機能を使っていたのだが、これだとレートが不透明で不利であった。

JAL Global WALLET(現:JAL Pay)はレートが不利なのは変わらないが、交換時にレートは判明しているのと、両替1,000円につき7JALマイルもらえるので、納得感が高い。

また、毎月20,000円以上チャージして20,000円以上使うと150マイルボーナスも貰える。

つまり、例えば20,000円以上チャージして外貨に両替すると140マイルがもらえ、更に同月中に2万円以上を海外のATMから出金すると150マイルの計290マイルがもらえる。


JAL Payボーナスマイル(JAL NEOBANKからのチャージ&利用)

両替時の積算マイル

これを受けて、海外旅行時の現金調達はJAL Global WALLET(現:JAL Pay)で行こうと思っていたのだが、普段使いでもっと徹底的に活用する発想が抜けていたことを最近悟った。

抜けていたのは下記の事実。

・毎月住信SBIネット銀行(JAL支店)から20,000円以上チャージしてJAL Global WALLET(現:JAL Pay)で20,000円以上使うと150JALマイルのボーナスがもらえる

・JAL Global WALLET(現:JAL Pay)で決済するとショッピング利用200円につき1JALマイルがもらえる(20,000円決済で100JALマイル)

・JAL Global WALLET(現:JAL Pay)でau Payカード(プリペイド)にチャージして決済すると200円につき1Pontaポイントがもらえる(20,000円決済で100Pontaポイント)

つまり、毎月住信SBIネット銀行(JAL支店)と、JAL Global WALLET(現:JAL Pay)とau Payの合わせ技で、毎月20,000円を使って250マイル+100Pontaポイントがゲットできるのである。

早急にau Payカード(プリペイド)を作ろう!

Labels:

【セキュリティ事件簿#2023-400】発達障害当事者協会 メールアドレス流出に関する謝罪と対応について

このたび、当協会のメールマガジン配信システムが第三者による不正アクセスを受け、当協会メールマガジン登録者の皆様の「氏名及びメールアドレス」約800件の個人情報が漏えいし、また当協会メールマガジン登録者の皆様宛に「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の当協会と無関係の第三者を発信者とする不適切な内容の電子メールが送信される事件が発生しました。

メールマガジン登録者の皆様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏えいした可能性のある皆様には、本電子メールにてお詫びとお知らせのご連絡を申し上げます。

当協会では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.事案の概要

2023年9月20日午後、メールマガジン登録者の皆様宛に、「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の第三者を差出人として、「発達障害当事者協会ニュース」、「個人情報開示」、「個人情報なりをみんなもあらそう」、「【警告】有料アダルトサイトの未納料金について」、「○○を殺す」(○○は当該電子メール受信者氏名)、「松井威人から障害者の皆様へ」などと題する不適切な内容の電子メールが相次いで送信されているとの連絡がありました。

当協会において調査したところ、上記を含む多数の不適切な電子メールが確認され、また一部の電子メールにはメールマガジン登録者全員の氏名及びメールアドレス(あるいはこれらが掲載されたインターネット掲示板のリンク)が記載されている事実を確認しました。

このことから、当協会のメールマガジンを配信するメール配信CGI(acmailer)がインストールされたサーバーに不正アクセスが行われ、メールマガジン登録者の個人情報が漏えいし、さらにメールマガジン登録者の皆様宛にメールマガジン配信機能を使用した不適切な内容のメール送信がなされたことが判明しました。

2.漏えいした情報

個人情報の流出状況についてですが、当協会メールマガジン登録者の「メールアドレスと氏名」が不正侵入者の集うオンラインの掲示板で開示されてしまいました。

(現時点では、住所などその他の情報漏洩は確認できておりません)

なお、不正侵入の範囲はメールマガジン配信システムに限定されており、協会で使用している事務用PC及び外部のイベント管理システム(「こくちーずプロ」及び「Peatix」)には影響なく、各種イベントなどでお預かりした個人情報について安全に取り扱っております旨もあわせてお伝えいたします。

3.漏えいの原因

原因調査の結果、当協会のメールマガジンを配信するメール配信CGI(acmailer)について、その提供事業者であるエクストライノベーション株式会社より脆弱性(不正ログインの危険性)に関する注意喚起がなされていたにもかかわらず、当協会において、インストールサーバー上で適切なバージョンアップ(脆弱性の修正)を行っていなかったため、不正アクセスを受けたことが判明しました。

4.今後の対応

本件の判明後、当協会はメールマガジン配信システムの運用を停止しており、旧メールマガジン配信システムからの配信はございません。

つきましては、購読者の皆様に改めてメールマガジンの登録解除の手続きをしていただく必要はございません。

また、戸塚警察・野方警察・巣鴨警察をはじめとする捜査当局と対応を協議しつつ、捜査協力を行っております。

今後、法令上求められる報告を行うとともに、所轄警察署への被害申告を行う予定です。

さらに、再発防止のため、サーバー及びサーバー上のシステムのセキュリティ対策及び監視体制の強化に取り組んでまいります。

今後も、引き続き本件につきまして状況の変化がありましたら、改めてご報告いたします。

当協会の不手際により皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-399】日本山村硝子株式会社 当社元社員の逮捕について

 

本日、当社の元社員が、兵庫県警察に不正競争防止法違反の容疑で逮捕されました。

このような事件が発生し、株主の皆様、取引先ならびに当社に関係する全ての方々に多大なるご心配とご迷惑をお掛けいたしましたこと、深くお詫び申し上げます。

本事案は、当該元社員が当社の機密情報を無断で社外に持ち出したというものです。2022 年6月に本件が判明し、社内調査を実施した結果、当社は、2022 年 11 月に当該元社員を懲戒解雇処分としました。

持ち出された情報については、ガラスびんの軽量化に関する当社固有の製造技術の情報であり、当社に関係する全ての皆様方に係る情報(個人情報、当社の取引先に関する情報等)は一切含まれておりません。

また、社内で検証した結果、当社のシステムやネットワークに対する外部からの不正アクセスの形跡や、不正プログラム等の検知はございませんでした。

なお、捜査や公判への影響を避ける必要があることから、詳細の公表は差し控えさせていただきます。

当社はこれまで、捜査当局からの協力要請に対し全面的に協力してきましたが、引き続き協力していくと共に、営業秘密の管理体制を一層強化し、再発防止に向けて取り組んでまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-389】富士ソフト 当社の社内システムに対する不正アクセスについて(10/6追記)


今回発生した不正アクセスについて、本日までの調査で確認できました点についてご報告させていただきます。

10月2日にご報告した通り、今回の不正アクセスは、当社を狙った標的型攻撃であることが確認できています。当社内の端末に社外から侵入されたことで、20ファイルが持ち出されました。その直後に、当社SOC※1にて検知し、CSIRT※2がアクセスを遮断して被害を局所化、以降のサイバー攻撃は発生しておりません。持ち出された20ファイルにつきましては、全てが当社の作業上の資料であり、お客様から受領した資料やお客様に納品する資料は含まれておりません。

その後、標的型攻撃が停止されていることを確認しており、追加的に対応した当社の多重防御対応により抑止効果が発揮できていると考えております。被害を受けたシステムを除き、当社社内システムに被害がないこと、また、当社が使用する標準開発管理環境にも不正アクセスの影響がないことを確認いたしました。

第三者機関にも協力を頂き、サーバなどのログ調査を継続しておりますが、現在のところ、不審なログ等はないことを確認しています。引き続き対応を進め、調査が完了次第、あらためて最終的な報告を実施させていただく予定です。

本件に関して、関係する皆様にご迷惑とご心配をおかけいたしますことを心よりお詫び申し上げます。

今後、同様の事態を起こさないよう、再発防止に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

※1 SOCとは「Security Operation Center」の略称で、サイバー攻撃の検出・分析を行い、対応策のアドバイスなどを行う専門組織です。

※2 CSIRTとは「Computer Security Incident Response Team」の略称で、インシデント(サイバー攻撃によるセキュリティ事故)の予防及び発生後の迅速な対処を行うことを目的とした組織(機能)です。

Labels:

【セキュリティ事件簿#2023-398】ETC利用照会サービスサイトへの不正アクセス・ログインについてのお詫びとお知らせ


この度、東日本高速道路株式会社、中日本高速道路株式会社、西日本高速道路株式会社、首都高速道路株式会社、阪神高速道路株式会社及び本州四国連絡高速道路株式会社が運営する、ETC利用照会サービスが、海外のIPアドレスからの不正アクセスを受け、ログインされ、お客さまのメールアドレス、登録ID、秘密の質問・答え及び利用履歴が閲覧された可能性があることが判明いたしましたのでご報告いたします。お客さまには、大変なご迷惑、ご心配をおかけすることを心よりお詫び申し上げます。

≪概要≫


令和5年9月30日~10月2日にかけて、海外のIPアドレスから当サービスへ大量のアクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされたものです。当サービスに記載されているお客さまのメールアドレス、登録ID、秘密の質問・答え及び利用履歴について閲覧された可能性があります。ETCクレジットカード番号、車載器管理番号の漏洩の可能性はございません。

≪対応等≫


対象となるお客さまには、ご登録いただいているメールアドレスにお詫びとお知らせを個別に送付させていただきます。
また、同様の大量アクセスがあった場合、ただちにそのIPアドレスからのアクセスをブロックする措置を講じました。
お客さまの個人情報を適正に取り扱うことは、会社としての重要な社会的責務であることを改めて認識し、お客さまの個人情報保護・管理を徹底してまいります。

≪お客さまへのお願い≫


今後、お客様のメールアドレス宛に不審なメールが送信される可能性が考えられますので、お手数ですが、お詫びとお知らせのメールが届いたお客さまは直ちにパスワード及び秘密の質問とその答えの変更をお願いいたします(ログイン時にパスワードの変更が必要です)。また、その他のサービスでも同様のIDやメールアドレスとパスワード及び秘密の質問とその答えをご利用されている場合も同様に変更をお願いします。

Labels:

【セキュリティ事件簿#2023-358】高知県 登録制ウェブサイトより個人情報が流出した事案の発生について

 

1.事案の概要

森づくり推進課がアジア航測株式会社に委託し、運営している登録制の「高知県スマート林業総合支援サイト」で公開したファイルの一部に個人情報を含むデータが掲載され、サイト利用のために登録されている事業者より一定期間(令和5年5月17日~8月24日)取得可能な状態となっていました。

2.流出した情報

流出情報:森林所有者氏名と一部の住所

人数:4,244人(うち 3,605人:旧仁淀村 638人:馬路村 1人:土佐市)

3.対応

  • 当該ファイルにつきましては、「高知県スマート林業総合支援サイト」から削除し、サイト利用のために登録されている事業者が取得したファイルにつきましても削除を確認致しました。

  • 情報流出の該当者へのお詫びを行ってまいります。

  • 受託業者に対しては再発防止策の強化について指導を行っています。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-397】薩摩川内市 令和5年度上半期 懲戒処分の公表について(市長部局)


鹿児島県薩摩川内市は、市民の個人情報を業務外で不適切にアクセスしたとして、水道局の40代職員を戒告の懲戒処分にし、上長には訓告処分を行ったと発表しました。この処分は9月27日付けで通知されました。市によると、職員は5月1日に市の住民情報システムを使って、漏水の問題で対応した住民の情報を業務終了後も2回閲覧していました。職員は約6カ月間漏水関連の調査業務に従事しており、閲覧した理由として、漏水を訴えた住民のその後が気になったためと述べ、悪意はなかったものの、業務外での閲覧については反省していると表明しました。また、職員は情報漏洩を否定しています。

この問題は、住民からの相談がきっかけで発覚しました。相談者は職員が第三者に対して住民の旧姓、年収、勤務地、親戚の住所などの個人情報を話していると訴えました。しかし、市の調査では、職員に与えられた閲覧権限を超えたアクセスは確認されず、親戚の住所については調べる手立てがないとされました。そのため、市は職員による第三者への情報漏洩はなかったと判断しました。

同市は再発防止策として、職員全体に対して個人情報の取り扱いを含むセキュリティ研修を進めるとともに、綱紀粛正の通知を発出しています。


Labels:

【セキュリティ事件簿#2023-396】野辺地町 USBメモリー紛失についてのお詫びとご報告


このたび、健康づくり課において、業務に関わる町民の個人情報を保存した公用USBメモリーを紛失する事案が発生しました。

皆様には、多大なるご迷惑をおかけしたことを深くお詫び申し上げますとともに、再発防止に努めてまいります。

また、身に覚えのない者からの不審な手紙やハガキが届くこと等がありましたら、お手数ですが相談窓口までご連絡いただきますようお願いいたします。

1 概要

(1) 発覚の日時
令和5年8月31日(木)15時頃

(2) 経緯
8月31日(木)15時頃に健康づくり課職員が当該USBメモリーを使用するため保管場所を開けたところ、当該USBメモリーがないことに気付きました。そのため、当該USBメモリーを最後に使用したと思われる同課の他の職員に確認したところ、前日の8月30日(水)に使用し、17時30分頃に保管場所に戻し、帰宅していたことがわかりました。
その後、執務室内を捜すとともに課内職員への確認を行いましたが発見には至りませんでした。
翌日以降も執務室内を数回確認し、捜索範囲を健康増進センター全館や公用車内にも広げ、また、最後に使用したと思われる職員の自宅や自家用車内も捜しましたが、現在まで発見には至っていません。

2 漏えいのおそれのある個人情報

新型コロナワクチン接種済者等約13,400人分(転出、死亡者含む。)の、住所、氏名、生年月日、性別、接種履歴等

3 発生原因

使用管理簿等を用いた管理が行われていなかったことや、USBメモリーを鍵のかからない脇机引き出しで保管するなど、適正な管理がなされていなかったことによるものです。

4 二次被害のおそれの有無

現在のところ二次被害の報告は入っていません。

5 相談窓口

相談窓口を設置しています。

6 再発防止策

職員に対し、改めて関係規定の遵守の徹底をするとともに、USBメモリー等の外部記憶媒体の取扱方法を次のとおり全庁で強化します。
    1. 保管は施錠可能な場所とし、所属長が管理します。
    2. 職員が使用又は返却する際は、使用管理簿に記入した上で、所属長の確認を得ることとします。
    3. USBメモリーは一時記憶媒体として使用し、使用した後は保存データを削除します。
    4. USBメモリーを暗号化対応型のものに切り替えます。
    5. 指定した業務以外でのUSBメモリーの使用を禁止します。
○ 不審な者からの連絡や訪問、手紙・ハガキ等が届き身に覚えのない料金の請求をされたなどといった場合は、下記の相談窓口又は、最寄りの警察署にご相談くください。

Labels:

【セキュリティ事件簿#2023-395】千葉市 市立小学校教諭によるSDカードの紛失について


市立小学校教諭による、個人情報を含むSDカードの紛失がありましたので、お知らせします。

このたびは、関係者の方にご迷惑をおかけしたこと、また、市民の皆さまへご心配をおかけしたことを心よりお詫び申し上げるとともに、今後、再発防止および個人情報の適正な管理に努めてまいります。

1 概要

令和5年9月5日(火)に、教育委員会宛てにSDカードが郵送され、内容を確認したところ、市立小学校教諭個人が所有していたSDカードで、当該教諭が紛失したものであることが判明した。紛失経緯は、現在確認中である。

当該SDカードには市立小学校に在籍していた児童の個人情報が含まれていた。

なお、現在のところ個人情報の漏えいによる被害等は確認されていない。

2 SDカードに保存されていた個人情報

令和2年度、当該小学校に在籍していた6学年児童の動画(6年生を送る会で流した動画など) 約90人分

3 現在の対応について

対象児童および保護者への説明と謝罪

4 再発防止の取り組みについて

  1. 情報セキュリティ事故のない信頼される学校の実現を目指すため、毎月発行しているコンプライアンス通信を活用する等、職員の情報セキュリティ意識の向上を図る。

  2. 教育委員会および学校の職員に対して、千葉市情報セキュリティ対策基本方針に基づき、情報セキュリティ対策の徹底についての通知を速やかに発出し、再発防止に努める。
Labels:

【セキュリティ事件簿#2023-394】兼松株式会社 元従業員の逮捕について


昨日(2023/9/27)、昨年 6 月末に当社を退職した元従業員(以下「元従業員」)が不正競争防止法違反の容疑で警視庁に逮捕されました。

当社は、元従業員の退職後に実施した社内調査によって、元従業員が当社の営業秘密(以下「営業秘密」)を不正に取得した疑いがあることを把握したため、直ちに警視庁に相談し、捜査に全面的に協力して参りました。

本日現在、元従業員による営業秘密の不正利用や第三者に対する漏洩等は確認されておらず、公判への影響を避ける必要もございますので、詳細の公表は控えさせていただきます。

当社は、引き続き、捜査当局による捜査に全面的に協力して参ります。

Labels:

【セキュリティ事件簿#2023-393】三重県聴覚障害者支援センターのパソコンへの不正アクセスによる 個人情報の漏えいの可能性のある事態の発生について (お知らせとお詫び) 2023/9/30


このたび、三重県聴覚障害者支援センターのパソコンが不正アクセスを 受け、センターが保有管理する個人情報の漏えいの可能性のある事態が発生いたしました。

このような事態を招き、利用者をはじめ関係者の皆様にご迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。

漏えいの有無については現在調査中であり、後日、調査結果が判明した際は改めて皆様にお知らせさせていただきます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-392】内閣府職員の不正行為: 公益財団に対する情報を意図的に漏洩

 

2023年9月29日、内閣府は公益法人行政担当室に所属する職員Aが公益財団の職員から受け取った情報を故意にその公益財団に漏らしていたことを公表しました。

この情報提供は2022年10月に行われ、職員Aは公益財団のウェブサイトの問い合わせフォームを通じて情報提供の事実と情報提供者の氏名を漏らしました。

この事態は2023年8月に情報提供者が国を相手に訴訟を起こしたことで明らかとなりました。

職員Aは、この漏洩事件を認め、その時点で文部科学省から公益法人行政担当室に出向していたことも判明しました。

内閣府の公益法人行政担当室はこの事件を受けて、マニュアルを改訂し、研修を強化することで再発防止を図ると明言しています​。

出典:内閣府の職員が公益財団に情報提供者の氏名や内容を流出

Labels:

【セキュリティ事件簿#2023-391】三重県 宇治山田高校における高校生活入門講座参加登録者の個人メールアドレスの再漏洩について 2023年09月27日

 

1 要旨

宇治山田高校において、高校生活入門講座参加登録者421名に対し、メールアドレスが宛先欄に入ったメールが送信され、再度、メールアドレスが漏洩しました。

2 内容

(前回の概要)

令和5年9月19日(火)、本校教頭が高校生活入門講座参加登録者421名に、入門講座のアンケートへの回答依頼のメールを送信した際、メールアドレスを宛先欄に入力して送信したことにより、メールアドレスが漏洩しました。 

(今回の概要)

・9月26日(火)11時26分、教頭が、19日の誤送信メールを整理した際、メール機能について十分に理解しないまま操作を行ったため、高校生活入門講座参加登録者421名にメールアドレスが宛先欄に入ったメールが自動的に送信されました。

・教頭は、19日付メールを削除する目的で、メールの「メッセージの取り消し」機能を使用しました。「メッセージの取り消し」機能では、送信済みのメールは削除できず、19日付メールの送信先全員に「このメールを取り消します」旨が自動的に送信されました。宛先も19日と同様の状態で送信されました。

・11時30分頃、入門講座参加登録者の保護者から学校に電話で「メールが届いたが、今回もアドレスが見られる状態にある」と指摘があり、漏洩が判明しました。

・13時06分に、学校から参加登録者全員にお詫びと、再度削除依頼のメールを送信しました。


3 今後の対応

今後、決してこのようなことのないよう、改めてメールアドレスの管理を確実に行うとともに、アプリケーションソフトの操作方法についての研修を深め、再発防止を徹底します。

Labels:

【セキュリティ事件簿#2023-390】株式会社チューリップテレビ 個人情報の漏えいについて 2023年10月4日


株式会社チューリップテレビ(本社 富山県富山市 代表取締役社長 山野昌道)は、自社制作番組で収集している個人情報が漏えいしたことを確認しました。ご紹介させていただきました方、ご応募をいただいた方をはじめ、視聴者や関係先の皆様に多大なるご迷惑をおかけし、深くお詫び申し上げます。

なお、これまでに本件に関する個人情報の不正な利用などは確認されておりません。

漏えいの内容

お誕生日をお祝いする番組『ハッピータイム』でご紹介した方や、その応募者の方の個人情報が、チューリップテレビの公式アプリ「チュプリ」の画面上で閲覧可能な状態になっていました。

1.閲覧できる状態になっていた時間
2023年10月3日(火)午後3時ごろ~午後11時ごろ

2.閲覧できるようになっていた個人情報
ハッピータイムに応募した方の電話番号
お誕生日の方の氏名、生年月日、住所(都道府県と市町村)、性別、それに写真応募者とお誕生日の方の関係、お祝いのメッセージ

3.閲覧できる状態になっていた件数
32件(2023年5月2日から9月7日までに応募された方)

4.漏えいが発覚した経緯
2023年10月3日(火)午後10時54分頃に、チュプリ会員から「チュプリ」の画面上で個人情報が閲覧可能な状態になっている旨、指摘を受けて確認した。

5.原因
システムを担当する委託業者が、アプリのプログラム改修を行ったことにより、既存のプログラムに影響が出た。作業後の確認が不十分だった。
今後、作業前に影響等についての十分な検証を行い、また、作業実施後は、正常な動作になっているか詳細に確認することとし、再発防止に努めてまいります。ご迷惑とご心配をおかけしたことを重ねてお詫び申し上げます。

リリース文アーカイブ) 

Labels:

【セキュリティ事件簿#2023-389】富士ソフト株式会社 当社の社内システムに対する不正アクセスについて(10/2追記) 2023/9/27

 

今回発生した不正アクセスは、当社を狙った標的型攻撃であることが調査により判明しました。攻撃により一部の環境の侵害を受けましたが、すぐに封じ込めができており、また他の環境にもマルウェア感染等の被害が出ていないことを確認できています。攻撃者の侵入経路は既に特定し封鎖済みであり、9月22日以降は攻撃も確認されていません。

本日時点において当社内で影響範囲の特定と対策はできておりますが、引き続き第三者機関にも協力を頂き、さらに厳密な範囲の確認、発生事象の詳細確認等を行い、最終的な対応を行う予定です。

本件に関して、関係する皆様にご迷惑とご心配をおかけいたしますことを心よりお詫び申し上げます。

今後、同様の事態を起こさないよう、再発防止に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

リリース文アーカイブ

Labels:

セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カードの改悪に伴い、解約を決意

 

これまでセゾンプラチナビジネスカードを愛用していたが、「SAISON MILE CLUB」の改悪に伴い、解約することにした。

セゾンプラチナビジネスカードは一時期最大1.4%近くのマイル還元率を狙える最も優秀なカードで、年会費も決済額が200万円を超えると半額になるなど、コストパフォーマンスも高いカードだった。

その後細かい改悪が続き、今回の「SAISON MILE CLUB」の改悪を受けて遂に撤退を決定した。

後続をどうするかだが、現在の方針は下記の通り。

・JALカードSuicaの活用

 現在使用しているJALカードSuicaの”CLUB Aカード”を”CLUB Aゴールドカード”にアップグレードする。JALカードSuicaのCLUB Aゴールドカードは毎年100万円以上決済すると5,000JREポイント(≒3,333JALマイル)がもらえるので、これでセゾンプラチナビジネスカードの還元率を超える。


・JQ CARD エポスゴールドの検討

JALカードの決済ボーナスは100万円までなので、マイル還元率1%を超えるカードがあればそのカードを併用するのが良い。現在検討しているのはJQ CARD エポスゴールド。

一定条件を満たすと年会費がかからない。

10,000円の決済につき、100エポスポイント⇒100JRキューポポイント⇒100Pontaポイント⇒50JALマイルと遷移させることが可能。

JALマイル還元率は0.5%になるが、年間100万円決済すると10,000ポイント(=5,000JALマイル)獲得できる。

これだけだとJALカードでいいじゃんっていう話になるが、Pontaポイント⇒JALマイルは定期的にレートアップキャンペーンをやっているため、これらを活用できると1%を超えることができる。

さらに、JQ CARD エポスゴールドの特典として、「選べるポイントアップショップ」なるものがあり、事前に3店舗まで登録して使うと、登録した店舗に限りポイントが3倍になる。

これらを活用できると最大1.25倍程度のJALマイル還元率が狙える。

いきなりJQ CARD エポスゴールドに入会してもよいのだが、ちょっと芸が無いため、コチラのサイトを参考に一旦エポスカードを発行してクレカ発行ポイントを頂いたのちにJQ CARD エポスゴールドへのインビテーションを貰う作戦を取ってみることにした。

さて、どうなることやら。

Labels:

【恥ずかしい話】優待取りは意外にコスト高だったことを今更知る

 

株主優待を通じたポイ活をしばらくやっていたのだが、先日冷静に振り返ったところ、意外にコスト高であることが今更ながら分かった。

やっている優待取りはターゲットとなる株式を現物で買いつつ、信用取引で同じポジションを空売りする方式。

この方法だと、同じ金額で売買するためリスクは少ないと思っていた。

当然コストは発生するが証券会社の手数料程度でバイマイルの範疇に入ると思っていた。

今回反省するきっかけになった取引は以下。

【アウトライン】

某L社株

仕掛かり:826円(成行)

手仕舞:794円(成行)

取引数量:2,000

優待:2,400JALマイル

【当初想定】

現物仕掛かり手数料:-660円

現物手仕舞い手数料:-660円

現物売却損:-66,660円

信用貸株手数料:-199円

信用返済益:66,660円

現物配当:2,550円

信用配当調整金:-2,709円

---------------------------------

コスト計:1,669円


こんな感じで、1マイル0.7円で調達できる算段だった。


ところが、ふたを開けてみるとこんな感じ。


【結果】

現物仕掛かり手数料:-660円

現物手仕舞い手数料:-660円

現物売却損:-66,660円

信用貸株手数料:-199円

信用返済益&支払い日歩:-22,599円

現物配当:2,550円

信用配当調整金:-2,709円

---------------------------------

コスト計:90,937円


こうなると1JALマイルのコストが37.89円となり、全くメリットが無い。

想定を大きく狂わせたのは日歩。

これは信用取引で株式を借りる際にかかる手数料。

実は仕掛時に前日の日歩はチェックしていたのだが、実際にどうなるかがやってみないと分からないところに恐ろしさがある。

しかも仕掛けは権利落ち日に実行するので、日歩のコストが高いからやめるといった柔軟な行動ができない。

こういうコツコツドカンは避けなければいけないというのは小次郎講師の教え。

という訳で優待取りによるマイル調達からは手を引くことを決定。

JALマイルの調達に関してはマリオットポイントを地道に貯めていくのが最も確実であることが分かった。

幸いにして住信SBIネット銀行の外貨積立スキームでドルを低コストで調達するスキームが確立できたので、マリオットポイントの最大セールス時にまとめ買いをして効率よくJALマイルを調達していきたい。

Labels:

【セキュリティ事件簿#2023-389】富士ソフト株式会社 当社の社内システムに対する不正アクセスについて 2023/9/27


富士ソフト株式会社は、社内システムに対して第三者から複数の不正アクセスがあり、2023年9月22日に社内情報の一部に情報漏えいの可能性があることを確認いたしました。現在、関係機関への報告は完了しており、その後の対策で被害も最小限にとどめられていると判断しています。

また、第三者機関の協力も得ながら、引き続き、発生事象の詳細および原因の調査、防衛対策に取り組んでおりますが、今後の調査により、関係者の皆様に影響の可能性がある事象が明らかになった場合には、速やかにご報告させていただきます。

Labels:

【搭乗記】日本航空JL464 徳島阿波おどり空港(TKS)⇒羽田空港(HND)

 

四国旅行を終えて羽田に帰るフライト

今回の旅程はざっくり↓の感じ。


徳島市を中心に淡路島行ったり、南下したり、山奥行ったりし、最終日は大歩危から高松を経由して徳島に戻る行程。

フライトは最終便なので、ギリギリまで敢行したこともあり、空港に着いたときはグロッキー状態だった。

この日はハッピーハロウィンということで、JALは空港スタッフが仮装していた。


行きの羽田発徳島行きは30分遅延したが、帰りは定刻通り出発。

機材は安定のB767。


非常口座席を選択したので足元広々。

足裏を壁面に付けるような下品な真似はしません。

そして限られた人のみが読むことのできる特別なカード(!?)を頂く。


平日の最終便ということもあり、隣は空席でとっても快適。

ツアー客が多かった印象だった。程なくして徳島を離陸。


暖かい飲み物が欲しくなり、ドリンクはビーフコンソメスープをオーダー。


ドリンク飲んだら寝落ちし、気が付いたら羽田に着陸していました。

ただ、どんなに疲労していてもミッションは忘れずに遂行します。これらの積み重ねが3年後の長距離国際線ビジネスクラス特典航空券に繋がります。


【Playback of flight JL464 on 31 OCT 2023】

Labels:

PontaポイントからJALのマイル交換で20%のレートアップキャンペーンを実施:2023年11月1日(水)~12月31日(日)

 

日本航空(JAL)、ロイヤリティマーケティング、およびKDDIは、PontaポイントをJALマイレージバンクのマイルに交換する際のレートを通常より20%増加させるキャンペーンを、11月1日から12月31日まで実施します。このキャンペーンはJMB×Ponta会員またはJMBローソンPontaカードVisa保有者に適用され、交換レートは通常2Pontaポイントあたり1マイルから、20%のボーナスマイルが付与されます​​。

出典:JAL、Pontaからのマイル交換でレートアップ 通常より20%増、12月末まで

出典:PontaポイントからJALのマイル交換レート20%アップキャンペーン

Labels:

【セキュリティ事件簿#2023-387】UTコネクト株式会社 個人情報漏洩のお知らせとお詫び  2023 年 9 月 19 日


この度、UTコネクト株式会社(本社:東京都品川区、代表取締役社長 外村学)は、当社へご応募いただいた求職登録者の情報が外部に流出したことが判明しました。現時点で判明している事実とこれまでの対応は以下の通りです。当社のサービスへご登録をいただきました求職者の皆様、およびメールをお送りしましたお客様には心よりお詫び申し上げます。当件につきましては引き続き、協議しながら対応を進めて参ります。

1.経緯概要
9 月 12 日、当社営業社員が新規お客さま向けの営業DMをメールにて配信。配信時に、求職登録者の個人情報の記載がある Excel データを添付し送信。その後 9 月 13 日、お客様からのご連絡によりファイルに 2259 名分の個人情報が含まれていることが発覚いたしました。

2.流出した個人情報の内容
当社の求人へご応募いただき、ご登録をいただいている 2259 名のデータ。氏名、生年月日、年齢、性別、住所、電話番号、保有資格、辞退理由等)となります。

3.原因詳細
今回のメール送付に関して、開示できる情報内容に加工し送付するという予定でしたが、当事者の個人情報の取扱いに対する意識不足とまた送付時の慎重な確認、組織内でのチェックが機能していなかったことによりこのような事態となりました。

4.弊社の対応
 9 月 15 日、まずは送信を行ったお客様 44 社すべてに「メール転送の有無」「印刷有無」「デスクトップ保存の有無」の確認及びデータ破棄の確認を完了しております。また個人情報保護委員会への報告を完了しております。なお、漏洩対象の皆様へは 44 社すべてのデータ破棄を確認後、19日より、ご連絡をさせていただきます。

5.二次被害又はそのおそれの有無
上記のように、送信先の特定とデータ破棄の確認を完了しており、二次被害のおそれはございません。

6.今後の対応
各事業所内における情報の取り扱い、チェック体制の再整備、営業社員への情報取り扱い教育を強化いたします。

この度は当社のサービスへご登録をいただきました求職者の皆様、およびメールをお送りしましたお客様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。今後は一層の組織体制の強化と再発防止策に努めてまいります。

Labels:

【搭乗記】日本航空JL465 羽田空港(HND)⇒徳島阿波おどり空港(TKS)

 

古い友人と徳島旅行に行くことになった。

日本国内、旅行先の候補は数多くあるが、あまり徳島を率先して選択するケースは少ないのではなかろうか?

で、何故今回徳島を選んだか?航空券が安かったからである。

Googleフライトを使うと、東京発で国内線のどこの便が安いかを簡単にチェックすることができる。テクノロジーの進化は素晴らしい!!


そんな訳で今回はある金曜日の最終便で徳島入りし、翌火曜日の最終便で羽田に戻るスケジュールを立てた。

今回は団体旅行なのでラウンジ利用は無し。

そういう時に限って遅延が発生する。。。

ただ、周りを見ると全体的に遅延祭りが発生している感じだった。


なんだかんだで30分遅れで搭乗。

機材はB767。通路側の席が2列なので、この機材は国内線ではお気に入りです。


今回は最後方の座席50Kを選択。

最後部なので、後ろに気兼ねなく席を倒せるのはメリットだが、窓が無いのがデメリット。

徳島便だからとなめてかかっていたが、搭乗便は金曜便の最終だったせいか、ほぼ満席だった。


後方座席に座ることはあまりないため、機内全体を眺められるのは新鮮だった一方、機内サービスは当然最後になります。


ドリンクは暖かいものが飲みたくなり、ビーフコンソメスープをオーダー。

自分の数列前でスープが入ったボトルが空になり、CAさんが補充に戻っていた。ビーフコンソメスープは人気のドリンクなのだろう。

そんな訳で、最後部にいながら、出来立てアツアツのビーフコンソメスープを頂くことに成功。

しばらく前からカップの蓋が紙製になっているが、どうしても不安が大きく、外してしまう。。。


そうこうするうちに着陸。最後部席は降機も最後です。たまーにやるなら新鮮でいいです。


空港バスからの移動はバスを利用。定刻発車ではなく、フライトに合わせてくれます。乗車券の購入はキャッシュレスに対応していました。


【Playback of flight JL465 on 27 OCT 2023】

Labels:

【セキュリティ事件簿#2023-386】慶應義塾大学病院 電話診療による処方箋発行申込フォームをご利用いただいた皆様へ 個人情報管理上の不備に関するお詫びとご報告 2023年09月28日


このたび、「電話診療による処方箋発行申込フォーム(※)」よりお申し込みをいただいていた患者様の個人情報が、慶應義塾の関係者が特定の操作を行った場合に閲覧できる状態になっていたことが判明いたしました。

本件の対象は、当該フォーム(※)によりお申し込みをされた患者様です。対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。

対象となられた患者様に多大なご迷惑とご心配をお掛けいたしましたことを深くお詫び申し上げます。経緯および対応については以下のとおりです。
詳細な調査に時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。

(※)「電話診療による処方箋発行申込フォーム」は、「新型コロナウイルス感染症に係る診療報酬上の臨時的な取り扱い」の特例措置を受けて実施していた電話診療による処方箋発行のための申込フォーム(Googleフォーム)ですが、特例措置の終了に伴い現在は終了しております。

1.概要
病院ウェブサイトのお知らせに掲載していた「電話診療による処方箋発行申込フォーム」(Googleフォーム)について、2022年末に一時申込を休止し、2023年1月5日(木)に申込を再開する際、誤って回答用のURLではなく管理用のURLを公開しておりました。
管理用のURLを開いた場合も通常は回答用のフォームが表示されますが、「慶應義塾共通認証システム(以下、認証システム)」にログインした状態で管理用URLを開くと、回答用フォームではなく管理用フォームが表示され、かつ、管理用フォームの「回答タブ」を選択して表示を切り替えた場合に、個人情報を含む過去の申込内容を閲覧することができる状態となっていました。認証システムのIDは、慶應義塾の教職員のほか学生、一部の卒業生等も所有しています。
2023年4月28日(金)にこの認証システムのIDを所有する患者様からご連絡をいただき、事態が判明いたしました。
誤って管理用のURLを掲載していた期間は、2023年1月5日13時頃から4月28日9時頃までとなります。

2.認証システムにログインした場合に閲覧可能となっていた情報
2020年5月11日から2023年4月28日までに「電話診療による処方箋発行申込フォーム」で申し込みをされた患者様(4,858名)の以下の情報です。
氏名、生年月日、住所、電話番号、メールアドレス、診察券番号、6カ月以内に診察を受けたか、薬が何日分残っているか、前回受診時から保険証が変わっているか、次回予約日、受診予定診療科、予約医師名または予約名、処方の受取を希望する薬局名・店舗名、薬局の住所・電話番号・FAX番号

3.事態判明後の対応
事態が判明した4月28日(金)に本来の回答用URLへの差し替えを行った上で、管理用フォームのアクセス権限を本来の管理者のみに変更し、それ以外の者が管理用URLで管理用フォームを開こうとしても開かないようにしました。併せて、同日より本件に関する原因の調査を開始しました。
また、閲覧されたアクセスの記録の調査を行いましたが、画面上で一定の操作を行った閲覧者においてはアクセス記録を確認することができ、その閲覧者はいずれも他人の情報は取得していないことを確認しています。
これらの状況については、5月2日(火)に「令和2年 改正個人情報保護法」に基づき、本件について国の個人情報保護委員会及び東京都福祉保健局及び大学の所轄官庁である文部科学省に報告いたしました。
当該フォームを利用された対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。
現在のところ今回の管理用URLへのアクセスを原因として、患者様に関する個人情報が不正に使用された事実は確認、報告されておりません。

4.再発防止について
このたびの事態が起こった原因は、Googleフォームの管理権限が本来の管理者のみに限定されず認証システムのID所有者全体についていたことと、申込再開時に誤って管理用URLを公開してしまったことにあります。
事態判明後は、Googleフォームの管理権限を必ず担当者に限定する、また、ウェブサイトを編集、公開する際には必ず複数人で内容を確認するなど、再発防止の対策を講じています。

慶應義塾大学病院では、医療個人情報の保護に関する規程を定めており、定期的な研修を実施するなど、個人情報の適切な管理に努めてまいりましたが、この度の事案により、患者様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
今後、教職員一同、個人情報の管理と運営に関する意識をより一層高め、再発防止に全力を尽くして参ります。

Labels:

【セキュリティ事件簿#2023-385】浜松城北工業高校の貸出iPad事件:1168名の生徒のテスト成績が露呈


浜松市の静岡県立浜松城北工業高校で、学校が生徒と教職員に貸し出していたiPadが一部教職員の不注意により、2018年度から2023年度までの1168名の生徒のテスト成績及び評定が見られる状態になっていたことが静岡県教育委員会によって明らかにされました​​​。

県教委によると、問題の根源は4名の教職員が割り当てられたアカウントからログアウトせず、その結果4台のiPadが教職員が保存していたデータにアクセスできる状態となっていたことです。このうち2名の教職員は担当授業の生徒名簿やテストの成績を保存しており、結果としてこれらのiPadを借りた任意の者が1168名の生徒のテストの点数や通知表の評定を閲覧できる状態になっていました​。

事件は25日夜、学校のホームページに匿名の通報があったことで発覚しました。その後、学校は全校生徒にアンケート調査を実施し、テストの点数等を見たり、噂を聞いたりした生徒はいなかったことが確認されました​​。

再発防止策として、県教委は貸出用端末を教職員用と生徒用に明確に区別し、管理を徹底するよう指示しています​​。

しかし、この事件は学校の情報セキュリティ管理についての議論を呼び起こし、デジタル教育リソースが増加する中で、生徒と教職員の個人情報をどのように保護し、同様の情報漏洩事件を防止するかが教育機関と学校にとって深く考慮し解決する必要がある問題となっています​​。

Labels:

【セキュリティ事件簿#2023-384】下仁田厚生病院 個人情報紛失のお詫びとご報告 2023/9/29


この度、下仁田厚生病院(以下「当院」という。)において、患者様の診療情報が保存された電子記録媒体(USBメモリ)の紛失が判明いたしました。

当院といたしましては、今般の事案を重く受け止めており、該当する患者様をはじめご家族の方、日頃より当院をご利用いただいております皆様に対し、多大なるご迷惑とご心配をおかけすることに深くお詫び申し上げます。

今後におきましては、院内の個人情報対策を強化し、再発防止策の徹底に努めてまいります。

なお、現時点で、本件に係る個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。 

1.概要

当院では、医療事務を受託業者へ委託しておりますが、当該受託業者が診療報酬明細書点検業務を行うにあたり、院内において患者様の診療記録情報を保存している当院の端末から週1回の頻度でUSBメモリを活用して受託業者が所有する端末にレセプトデータの移管作業を行っており、その過程において、所定の場所にUSBメモリが無いことが判明し、院内を捜索したものの発見に至りませんでした。 

2.個人情報の項目

紛失したUSBメモリには、令和5年6・7月分の外来患者様及び入院患者様2,013件分の診療記録情報が保存されておりました。

紛失した患者様の情報は以下のとおりです。
 ・氏名、性別、生年月日
 ・傷病名
 ・保険者番号
 ・被保険者証記号番号
 ・受診日等の診療行為情報
 ※患者様の住所や電話番号は含まれておりません

3.二次被害の可能性の有無とその内容

USBメモリは院内での紛失と認識しており、外部に流出した可能性は低いと考えておりますが、レセプトデータには傷病名や診療行為といった要配慮個人情報を含みます。

第三者に流出した場合には患者様への不審な連絡が生じるなどの可能性が考えられます。 

4.再発防止策

受託業者に対し、十分な再発防止策を講じるよう指示しており、個人情報取り扱い規定の周知徹底、業務に直接携わる者以外も含めた個人情報取り扱いに関する再教育、及び定期的な監視・モニタリング体制の整備等に取り組み、委託元として管理監督を徹底して参ります。

また、当院の職員においても、同様に個人情報の取り扱いには十分に留意し、再発防止の徹底に努めてまいります。 

5.対応

 (1) 紛失への対応
本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。

 (2) 該当する患者様への対応
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。 

Labels:
登録: コメント (Atom)