ただいま、サイトの一部で不正アクセスが発生し、ホームページの内容が不正に書き換えられる事案が起きています。
内容は事実無根で、弊社は通常通り営業を続けています。
お取引様には大変ご面倒をおかけしておりまして、申し訳ございません。
復旧までのお問合せ、お見積もり依頼は電話にて受付をいたしますので、ご迷惑をお掛けしますが宜しくお願いいたします。
【セキュリティ事件簿#2024-065】島根県が使用していたドメインを第三者が再取得し、別のホームページに使用していることを確認しました 2024/1/15
島根県が過去に使用したドメイン(ホームページアドレス)について、運用停止後にオークションサイトでの売買等により、第三者に再取得されていることが判明しました。
これらのホームページに係る事業は既に終了しており、下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。
1第三者に再取得されたドメイン(県の事業は終了しています)
・syokujusai-shimane2020.jp(第71回全国植樹祭しまね)【林業課】
・gotoeat-shimane.jp(GoToEatキャンペーンしまね)【しまねブランド推進課】
・shimane-goen.jp(ご縁の国しまね)【観光振興課】
・shimane-ninsho.jp(島根県新型コロナ対策認証店認証制度)【薬事衛生課】
・smalruby-koshien.jp(スモウルビー・プログラミング甲子園開催事業)【産業振興課】
・shimane-monodukuri.jp(しまねものづくり人材育成支援Navi)【雇用政策課】
2県の対応
・上記1に掲載のドメインへリンクを張っているウェブサイトの管理者へ削除を依頼
・県民等への周知
・庁内へドメイン管理の注意事項を周知徹底
【セキュリティ事件簿#2024-064】株式会社ブランジスタ 当社連結子会社・株式会社ブランジスタメディアが運営する旅色Instagram公式アカウントに関するお詫びとご報告 2024/1/13
当社連結子会社・株式会社ブランジスタメディアが運営する旅色Instagramアカウント(@tabiiro)、旅色お取り寄せInstagram公式アカウント(@tabiiro.otoriyose)が、第三者からの不正アクセスにより乗っ取られる事案が発生いたしました。
2024年1月13日以降、弊社が当該アカウントを使用してダイレクトメッセージをお送りすることはございません。万が一、「旅色」をかたった連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。
今後、新たにお知らせするべき内容が判明した場合、速やかに情報を開示いたします。
お騒がせをしておりますことを、心よりお詫び申し上げます。
【セキュリティ事件簿#2024-063】株式会社FAM 弊社Instagram公式アカウントに関するご報告 2024/1/12
平素より弊社製品をご愛顧いただきまして誠にありがとうございます。
去る2024年1月8日、弊社Instagram公式アカウント「yoakinsta (@yoakinsta)」(以下、当該アカウント)が第三者からの不正アクセスにより乗っ取られる事案が発生しております。
■当該Instagramアカウントについて
Meta社に対策の要請を行っておりますが、本アカウントの早急な復旧は困難だと考え、今後、弊社からお客様への有益な情報の発信を継続するために、新規のInstagramアカウントを立ち上げました。
旧アカウント「yoakinsta (@yoakinsta)」
新アカウント「yoaktokyo (@yoaktokyo)」
何卒フォロー頂けますと幸いでございます。
■再発防止策について
再発防止のために、フィッシングメールの対策強化、SNSアカウントの管理の徹底、また従業員教育の徹底を行って参ります。なお、2024年1月8日以降、弊社が当該アカウントを使用してダイレクトメッセージをお送りすることはございません。 万が一、弊社を騙った連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。
あらためましてお客様にご心配とご迷惑をお掛けしましたことを、心よりお詫び申し上げますとともに、再発防止に努めて参る所存です。
【セキュリティ事件簿#2024-062】なかほら牧場 当牧場が運営する「なかほら牧場オンラインストア」への不正アクセスによるクレジットカード情報の窃取に関するお詫びとお知らせ 2024/2/28
このたび、当牧場が運営する「なかほら牧場オンラインストア」の旧サイト(以下「旧サイト」といいます)が 2021年4月22日に不正アクセスを受け、以降 2023年7月11日までの期間において入力されたお客様のカード情報(5,069件)が窃取されていた可能性、およびカード情報5,069件を含む個人情報(14,933件)が閲覧されていた可能性のあることが判明いたしました。
上記の期間に当牧場の旧サイトでカード番号を入力されたお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたことについて深くお詫び申し上げます。
カード情報および個人情報が窃取された可能性のあるお客様には、本日以降、電子メールでお詫びとお知らせをお送りしてまいります。
本件の概要・経緯およびお問合せ窓口等につきまして、下記の通りお知らせいたします。
1.経緯
2023年9月8日、一部のクレジットカード会社から、当牧場の旧サイトを利用されたお客様のカード情報が窃取された可能性がある旨の連絡を受けました。
当牧場の現サイトは上記連絡を受ける前 2023年7月11日に新システムへ移行しておりましたが、あらゆる可能性を考慮に入れて、2023年9月12日、現サイトにおけるカード決済を停止いたしました。
上記の措置と同時に、第三者調査機関による調査を開始いたしました。2023年11月27日に当該調査が終了し、2021年4月22日~2023年7月11日の期間に当牧場の旧サイトでカードの番号を入力されたお客様(および2023年7月12日から2023年9月12日の期間において旧サイト・マイページのカード情報を更新されたお客様)のカード情報が入力時に窃取され、その後、うち一部のお客様のカード情報が不正利用された可能性があることが確認されました。また、2023年7月11日までに当牧場の旧ECサイトに個人情報をご入力いただいたお客様の個人情報(14,933件)が閲覧された可能性も確認されました。
以上の事実が確実なものとなりましたので、本日2024年2月28日の発表に至りました。
2.個人情報漏洩状況
(1)原因
当牧場の旧サイトで使用しておりましたシステムの一部に脆弱性があり、これをついた第三者が不正にアクセスして、ペイメントアプリケーションの改ざんが行われました。
(2)カード情報窃取の可能性があるお客様
2021年4月22日~2023年7月11日の間に当牧場の旧サイトにおいてカード番号を入力されたお客様、および2023年7月12日から2023年9月12日の間に旧サイト・マイページのカード情報を更新されたお客様です。窃取された可能性のあるのは5,069件で、内容は次のとおりです。
・カード名義人名
・カード番号
・有効期限
・セキュリティコード
・住所
カード情報窃取の可能性があるお客様には、電子メールで個別にご連絡いたします。
(3)個人情報が閲覧された可能性のあるお客様
2017年6月1日から2023年7月11日までに当牧場の旧サイトをご利用いただいた 14,933名のお客様について、閲覧された可能性のある情報は以下の通りです。
・住所
・氏名
・注文内容
・メールアドレス
・生年月日(任意入力項目)
・会員番号
・電話番号
・FAX番号(任意入力項目)
3.お客様へのお願い
すでに当牧場では、クレジットカード会社と連携して窃取された可能性のあるカードによる取引のモニタリングを継続実施し、不正利用の防止に努めております。
お客様におかれましても、お手数をおかけしてたいへん申訳ございませんが、カードご利用明細にある請求項目のご確認をお願いいたします。もし、当該利用明細中に覚えのない請求項目の記載がありましたら、おそれ入りますがカードの裏面に記載されているクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当牧場からクレジットカード会社に依頼しております。
4.公表が遅れた理由・経緯について
2023年9月8日に状況報告を受けてから今回の案内に至るまで、時間を要しましたことにつきましては、深くお詫び申し上げます。
カード番号窃取の可能性に関する連絡を受けた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきとも考えられるところではございましたが、クレジットカード会社との協議を踏まえ、不確定な段階における情報の公開は混乱を招くため、調査会社による調査結果の確定およびクレジットカード会社との連携を待って行うことといたしました。
今回の公表まで時間がかかりましたことについて、重ねて深くお詫び申し上げます。
5.再発防止策ならびにオンラインストアにおけるカード決済の再開について
2023年7月11日に運用を開始した現オンラインストアは、旧サイトとは異なる決済システムで運営しているためカード情報窃取の対象とはなっておりませんが、システムのセキュリティ確保につきましては、今後一層注意してまいります。
現在の「なかほら牧場オンラインストア」におけるカード決済の再開日につきましては、決定し次第、改めてサイト上でお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2023年9月12日に報告済であり、また、2023年12月26日には所轄警察署にも報告済です。
【セキュリティ事件簿#2024-061】鹿島アントラーズ お客様情報が誤って表示された可能性に関するご報告とお詫び 2024/2/22
この度、SÓCIO・ファンクラブ入会時にお申込いただいたユニフォームのネーム&ナンバー変更受付フォームに設定不備があり、ご入力いただいたお客様の個人情報を第三者が閲覧できる状態になっていたことが判明いたしました。つきましては、発生した事象と今後の対応についてご報告いたします。
対象の皆様に大変ご迷惑をおかけしたことを深くお詫び申し上げます。
発生事象概要
SÓCIO・ファンクラブご入会時にお申込いただいたユニフォームのネーム&ナンバーの変更受付フォームにおいて、お客様にご入力いただいた個人情報を第三者が閲覧できる状態になっておりました。
※個人情報の閲覧の可能性があるアクセス回数はのべ314回
発生期間
2024年1月8日(月・祝)15:00~2024年2月21日(水)10:08
対象件数と対象情報
・対象件数:16件
・対象情報:お客様にご入力いただいたメールアドレス、会員番号、会員種別、氏名、変更をご希望の選手名
発生原因
変更受付フォームの作成時に、誤って他の回答が閲覧できる状態に設定しておりました。また、当該設定についてダブルチェックを実施できておりませんでした。
現状確認されている被害
お客様より被害発生の報告は受けておりません。
今後の対応について
該当のお客様に対しては、本事象に関するご報告とお詫びをメールにてご案内いたしました。各種フォームの作成・設定時におけるダブルチェックを徹底し、再発防止に努めてまいります。
改めて、この度は多大なるご心配とご迷惑をおかけしたことを深くお詫び申し上げます。
【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 不正アクセスに関するお知らせとお詫び 2024/2/26
ダイドーグループホールディングス株式会社(以下、弊社)は、2024年2月1日付け「弊社サーバへの不正アクセス発生について」にて公表したとおり、本年1月16日に、弊社を含むグループ会社等で利用するサーバ等が第三者による不正アクセスを受けたことを確認しました。外部の専門機関等による調査を実施した結果、弊社グループ会社の従業員等に関する個人情報が流出したことが判明いたしました。
本件に関して、以下のとおりご報告いたしますとともに、対象となる皆さまに心より深くお詫び申し上げます。
■影響
流出した個人情報は、弊社グループ会社の従業員等※に関するものであり、各社ごとに以下のとおりです。※弊社及びグループ会社の従業員、委託業務従事者(退職者及び元従業者を含む)
| 会社名 | 個人情報の内容 |
|---|---|
| ダイドーグループホールディングス株式会社 |
|
| ダイドードリンコ株式会社 |
|
| ダイドービジネスサービス株式会社 ダイナミックベンディングネットワーク株式会社 ダイドービバレッジサービス株式会社 株式会社ダイドービバレッジ静岡 ダイドーベンディングジャパン株式会社 アサヒ飲料販売株式会社 株式会社ミチノク 九州アサヒ飲料販売株式会社 株式会社ダイドードリンコサービス関東 ダイドー光藤ビバレッジ株式会社 株式会社秋田ダイドー ダイドー・シブサワ・グループロジスティクス株式会社 ダイドーベンディング近畿株式会社 大同薬品工業株式会社 株式会社たらみ ダイドーファーマ株式会社 |
|
■原因
弊社を含むグループ会社等で利用するネットワークが第三者による不正アクセスを受けたことによるものです。
■二次被害の有無
不正アクセス以降、これらの個人情報の不正利用等の二次被害は確認されていません。
今後、調査結果や外部の専門機関等のアドバイスに基づき、より高度な情報セキュリティレベルの実現を目指し、セキュリティ監視体制の強化や、再発防止に取り組んでまいります。
【セキュリティ事件簿#2024-060】出水市のメール中継サーバの不正中継について 2024/2/22
このたび,出水市のメールアカウントを不正に利用し,第三者からの迷惑メールが送信されていたことが判明しました。メールは英文であり,送信者名も出水市ではなく,内容も本市とは関係がないことが記載されています。
この度は、当該メールを受け取られた方々には、心からお詫び申し上げます。
なお,このようなメールを受信された場合は,開封せずに削除していただくようお願いします。
事案の概要等は次のとおりです。
1 概要
出水市が管理するメール中継サーバが令和6年2月14日(水曜日)から令和6年2月15日(木曜日)にかけて、第三者からのメールを意図せずに不正に中継していたことが判明しました。
2 不正中継に利用された可能性のあるメールアドレス
test(at)edu-izumi.jp
※(at)は@マーク
※test(at)edu-izumi.jpのアカウントは削除しました。
3 2のドメインを利用している組織
出水市の小中学校、市立高等学校
※ドメイン・・・メールアドレスの@以降の部分
4 送信されたメール件数
129,975件
5 主な原因
アカウントの不正利用
6 対応
現時点で不正中継が可能な状態は解消しております。今後このような事象が発生しないよう、再発防止を図ってまいります。
【セキュリティ事件簿#2024-059】ダイキン工業株式会社 仕入先様情報の漏洩可能性に関するお詫びとお知らせについて 2024/2/16
この度、当社のシステム開発案件において委託先であるダイキン情報システム株式会社が発注している日本電気株式会社(本社:東京都港区、再委託先)の委託先会社(再々委託先)の作業者が、個人情報を含むダイキン工業および国内関係会社の仕入先様情報を委託された利用目的によらずに不正ダウンロードしたことを2023年12月24日に検知しましたが、更なる情報漏洩が無いかを作業者の情報機器を全て回収し調査致しました。
電磁的記録の詳細調査に時間を要しましたが、当該作業者から第三者への漏洩の痕跡は確認されず、現時点において二次被害があったという事実は確認されておりません。万が一のこともあり皆様にお知らせするとともに、ご心配・ご迷惑をおかけしますことを深くお詫び申し上げます。今後適切な再発防止策を講じることで皆様からの信頼回復に努めてまいります。
1.発生原因
委託先作業者が私用目的で不正に情報をダウンロードしたことにより漏洩の可能性が生じました。
2.不正にダウンロードされた個人情報
仕入先様情報に含まれる仕入先ご担当者様氏名/住所/電話番号/振込先情報 約2.2万件
3.仕入先ご担当者様へのお願い
仕入先ご担当者様におかれましては、不審な連絡などに十分ご注意いただきますよう、お願い申し上げます。
4.今後の対応について-再発防止策
当社ではこれまでもセキュリティ対策を講じてまいりましたが、今回の事態が発生したことを真摯に受け止め、あらためて情報セキュリティ対策のより一層の強化を図り、再発防止に努めてまいります。具体的には、個人情報への適切な範囲でのアクセス権限設定、社内ネットワークセキュリティ対策、および委託先選定基準のセキュリティチェックの更なる強化に取り組んでおります。
【セキュリティ事件簿#2024-058】PCIホールディングス 株式会社 当社グループのクラウドサービスへの不正アクセス発生について 2024/2/19
当社の連結子会社であるPCIソリューションズ株式会社は、特定顧客にサービス提供する為に利用しているクラウドサービスに不正アクセスがあり、格納するデータが削除される被害が発生したことを確認しましたのでお知らせします。
当該顧客には、通知ご説明済でシステムは復旧しており、他のシステムへの影響等もございません。
現在、PCIソリューションズ株式会社内に全社対策本部を設置、継続して調査を進めており、所轄警察署にも報告を行っております。
お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。
現時点で判明している内容について、下記の通りご報告いたします。
1. 経緯
日本時間 2 月 6 日(火)9 時に当該顧客よりアクセス障害の連絡を受け、同日 11 時に当該インシデント(不正アクセス)により、格納するデータが削除される被害が発生していることを確認しました。直ちに、調査を開始し、迅速に対応を進めるべく全社対策本部を立ち上げました。
2. 現在の状況と今後の対応
今回の被害に対応した結果、既にシステムの復旧は完了しております。情報流出の有無については、引き続き調査中です。なお、現時点では削除された情報の中に個人情報は確認されておりません。
今後、公表すべき事項が判明した場合には、速やかに弊社 Web サイトにてお知らせいたします。
【セキュリティ事件簿#2024-057】足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7
この度、当院にて不正アクセスが確認されました。
PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。
詳細は以下の通りです。
1.不正アクセス判明の経緯
資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。
内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。
2.不正アクセスがされた内容と対応
詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。
別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。
外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。
ログの調査は終了しており、外部への流出は認められませんでした。
3.病院運営及び個人情報への影響につきまして
医療情報システム(電子カルテ等)はインターネットから分離しており、診察への影響はございません。
当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。
院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。
4.今後の対応
セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。
【セキュリティ事件簿#2024-056】株式会社ビザビ 「備中あんたび2」サイクリングイベント参加者募集における個人情報の漏えいに関するお詫び 2024/1/29
このたび、株式会社ビザビが倉敷市から受託した「備中あんたび2」サイクリングイベント参加者募集において、参加申込者様の個人情報が閲覧できる状態になっていたことが判明いたしました。
参加申込者様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。
現時点では本件による、当該個人情報の不正利用等の被害は報告されておりません。
弊社といたしましては、このような事態を招いたことを重く受け止め、再発防止の対策を講じてまいります。
お申込者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年1月19日、受託事業における専用の申込フォームを開設し、事業の参加申込を開始。
2024年1月22日、事業委託者より、株先会社ビザビに対し、外部から個人情報が閲覧可能になっているとの情報提供があったため、申込フォームの受付を至急停止するよう要請があり、速やかに、申込フォームの停止、削除を行い、その後は閲覧可能状態を是正した。
また、直ちに、32名のお申込者様へ電子メールとお電話にて謝罪と経緯の説明を行った。
2.対象の個人情報
お申込者様の氏名・住所・電話番号:32件
3.お申込者様への対応
個人情報が閲覧された可能性があるお申込者様には、電子メールとお電話にて、謝罪と経緯の説明を行いました。
4.再発防止に向けた対策
弊社ではこのたびの事態を厳粛に受け止め、全従業員を対象に、個人情報保護及び情報セキュリティ教育を徹底し、より一層の情報セキュリティ強化に取り組んでまいります。
改めて、お申込者様に多大なご迷惑とご心配をお掛けいたしましたこと、重ねてお詫び申し上げます。
ランサムウェアギャングが発表した被害組織リスト(2024年1月~2月)BY StealthMole
StealthMole(旧Dark Tracer)による、2024年1月~2月のランサムウェア被害を受けた日系企業のリスト。
shinwajpn.co.jp
- 組織名:進和外語アカデミー
- ランサムウエアギャング:LockBit
agc.com
- 組織名:AGC株式会社
- ランサムウエアギャング:Black Basta
- 関連事件簿:【セキュリティ事件簿#2023-485】AGC株式会社 当社米国子会社への不正アクセスに伴うシステム障害について
soken-ce.co.jp
- 組織名:綜研化学株式会社
- ランサムウエアギャング:LockBit
- 関連事件簿:【セキュリティ事件簿#2024-001】綜研化学株式会社 ランサムウェア被害の発生について
【セキュリティ事件簿#2024-055】株式会社ラック オンライン受講システムでの個人情報漏えいの報告とお詫び 2024/2/21
当社ラックセキュリティアカデミーのオンライン受講システムにおいて、コース申し込みをいただいた方1名への情報閲覧の権限設定の際に作業ミスがありました。その結果、2024年1月10日~1月15日の間、1名の方が、過去に他のコースを受講した19名の方々のお名前、メールアドレス、受講履歴などの個人情報を閲覧できる状態になっていました。
通報を受けた後、直ちに原因と影響範囲の調査、および設定ミスの修正を実施し、ご迷惑をおかけした皆様(合計20名)への連絡と謝罪をおこないました。さらに、オンライン受講システム上のすべての登録データを調査し、同様の問題が無いこと、通報いただいた1名の方以外に受講者情報が漏えいしていないことを確認し、一連の経緯を関係機関へ報告しました。
あらためて今回の設定ミスによりご迷惑をおかけした皆様へお詫びするとともに、今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります。
PontaポイントからJALのマイル交換で20%のレートアップキャンペーン(2024年3月1日~3月31日)
キャンペーン期間
2024年3月1日(金)~3月31日(日)
※2024年3月31日(日)午後11時59分までにマイルへの交換申込完了が必須
キャンペーン詳細
期間中、Pontaポイントからマイルへの交換を申し込むと、通常の交換マイル+20%分ボーナスマイルをプレゼント
例:100Pontaポイント交換した場合、通常50マイルのところ、さらにボーナスマイル10マイルをプレゼント。(合計60マイル)
※1マイル未満の端数は切り捨て。
対象者
JMB×Ponta会員または、JMBローソンPontaカードVisaを持っている人
ボーナスマイル積算時期
2024年4月末頃予定
※通常マイルと別に積算
コメント
ポイントは貯めるだけではなく、使っていくことにも慣れることが重要。
Pontaはポイント数の変動があれば有効期限が伸びていくが使い方を忘れると大変なので、保有ポイントの10%をJALに移行することにする。
【セキュリティ事件簿#2024-054】個人情報保護委員会 株式会社四谷大塚に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/29
個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
1.事案の概要
本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。
2.事実関係
(1) 事案発覚の経緯
四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。
(2) Xによる在校児童の個人データ持ち出しの態様
四谷大塚によれば、Xは、令和4年4月に採用され、A校舎に所属し、理科、算数及び国語の授業を担当していたところ、解雇された令和5年8月頃までに、自身に業務上付与された ID 及びパスワードで本件システムにログインし、在校児童の個人データを検索し閲覧した。そして、Xは、自身のスマートフォンに、個人データを打ち込んで記録し、6人分の本件個人データを SNS アカウントに送信して投稿した。
(3) 当委員会に対する漏えい等報告の提出の状況
四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。
3.法律上の問題点-安全管理措置(法第 23 条)の不備
法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。
四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。
こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。
本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。
(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと
ガイドラインにおいて、個人情報取扱事業者は、安全管理措置を講ずるための組織体制を整備しなければならず(10-3(1)組織体制の整備)、また、漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならないとされている(10-3(4)漏えい等事案に対応する体制の整備)。
しかしながら、四谷大塚では、大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった。そのため、令和5年8月10 日に本件漏えい事態が発覚してから約2か月後の、同年 10 月6日に速報、同月 13 日に確報を提出したものである。
ガイドラインにおいて、速報の提出期限である「速やか」の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内とされている(3-5-3-3 速報(規則第8条第1項関係))。また、確報の提出期限については、規則第8条第2項において「当該事態を知った日から 30 日以内(当該事態が前条第3号に定めるものである場合にあっては、60 日以内)」とされている。しかし、四谷大塚が速報を提出したのは、本件事態の発覚日から 58 日目であり、確報を提出したのは 65日目であることから、組織体制の整備及び漏えい等事案に対応する体制整備に不備があったものと認められる。
(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと
ガイドラインにおいて、個人情報取扱事業者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならないとされている(10-3(5)取扱状況の把握及び安全管理措置の見直し)。
四谷大塚によれば、責任者である塾長(会社全体を統括する者)が定期的に内部監査を実施していたとのことであるが、監査の項目は、研修の実施状況を確認するにとどまるものであり、個人データの取扱状況については確認していなかった。
したがって、四谷大塚においては、個人データの取扱状況の把握及び安全管理措置の見直しに不備があったものと認められる。
(3) 小括
このように四谷大塚においては、組織的安全管理措置(組織体制の整備、漏えい等事案に対応する体制の整備、並びに取扱状況の把握及び安全管理措置の見直し)に不備が認められた。四谷大塚においては、本件漏えい事案を重く受け止め、こどもの個人データを取り扱う事業者として、今回の指導事項を含め、個人データの安全管理措置の実施について、より一層留意するべきである。
4.指導等の内容
(1) 法第 147 条の規定による指導
- 個人データの安全管理措置を講ずるための組織体制を整備すること。
- 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
- 個人データの取扱状況を確認するために、定期的に監査を実施すること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し(必要に応じて見直すことを含む。)、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。
(2) 法第 146 条第1項の規定による報告等の求め
- 指導に係る改善措置の実施状況について令和6年5月 31 日(金)までに関係資料を添付の上、報告するよう求める。
【セキュリティ事件簿#2023-327】個人情報保護委員会 長野県教育委員会に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/21
個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 21 日、長野県教育委員会における個人情報等の取扱いについて、長野県教育委員会に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 157 条の規定による指導等を行った。
1.事案の概要
本件は、長野県教育委員会が所管する2つの高等学校の教諭2名(各高等学校それぞれ1名)がサポート詐欺1に遭い、当該サポート詐欺を図った攻撃者からの誘導に従い、校務用端末である PC(以下「校務用端末」という。)に遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏えいのおそれが発生した事案である。
2.漏えいしたおそれのある保有個人情報とその本人数
本件により漏えいしたおそれのある保有個人情報は、生徒の氏名、生年月日、住所、成績、生徒指導に関する資料及び進路指導に関する資料等並びに教職員の氏名等であり、本人数は 14,231 人である。
3.法律上の問題点
法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。
この点に関し、長野県教育委員会では、個人情報等の取扱いについて、以下の問題点が認められた。
(1) 外部からの不正アクセスの防止の不徹底(技術的安全管理措置の不備)
本件各高等学校では、校務用端末についてインストールを制御する機能が備わっていたにもかかわらず、その設定を怠っていたことから、教職員なら誰でもインターネット上からソフトウェアのインストールをすることが可能な状況であった。
(2) 漏えい等の安全管理上の問題への不十分な対応(組織的安全管理措置の不備)
長野県教育委員会から当委員会に漏えい等報告(確報)が提出されたのは当該事案の発覚後 82 日目であり、当委員会への漏えい等報告(確報)が規定された期間内に行われなかったことから、法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。
4.指導等の内容
(1) 法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。
(2) 策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。
(3) 今後、法第 68 条第1項の規定による報告を要する事態が生じた場合には、規定された期間内に所定の事項を報告すること。また、そのような報告が可能となるよう、漏えい等事案に対応する体制の整備を行うこと。
(4) 再発防止策の実施状況について、関係資料を提出の上、令和6年3月 29 日(金)までに説明するよう求める。
【セキュリティ事件簿#2024-053】NPO法人美原体育協会 不正アクセスによる個人情報の流出の可能性がある事案の発生について(お詫び) 2024/2/20
平素は、美原体育館等をご利用いただき、誠にありがとうございます。当体育館において、外部から業務用パソコンへの不正アクセスによる個人情報の流出の可能性があることが判明しました。
1 不正アクセスを受けたパソコンの環境
- 当館の業務用パソコン端末は計 5 台。被害当時、5 台のうち当該パソコンと親機の 2 台のみ電源が入った状態で、2 月 12 日(月)午後 7 時~14 日(水)午前 8 時半の 間、電源が入った状態で外部と接続され、遠隔操作可能な状態にあった。
※稼働していなかったパソコンへの遠隔操作はないことが確認されている。また、当該 パソコンと親機は一時的に遠隔操作が可能な状態であったが、メールの送受信履歴 やリモート接続ソフトのログ上ではファイルを外部に送信した記録はなく情報流出 の可能性は低い。
2 当該パソコンからアクセスが可能であった個人情報の項目及び件数
【項目】美原体育館の利用者、同館のスポーツ教室利用者等の氏名、住所、電話番号、 生年月日、保護者名、一部の利用者の口座情報(銀行名、支店名、口座番号)
【当該パソコン及び親機に保存されている個人情報の件数】 約 14,000 件
3 発生の原因
- 業務中にインターネット検索をしていた際、誤って広告ページにアクセスしてしまっ たこと。
- 当該事案が発生した際、ただちに業務責任者へ共有すべきところ、情報インシデント が発生しているという認識がなかったため事業者内部の共有が遅れたこと。
4 再発防止策
- 指定管理者内でのインシデント発生時の体制及び対応策について再確認し、セキュリティ対策の徹底により再発防止策を講じること。
業務パソコン操作時にインターネット検索時の不審な広告やメール等にアクセスせ ず、万が一誤って接続し誘導・警告メッセージ等が出た場合には、すぐに当該パソコ ンの電源を切断し、ネットワークから遮断する。パスワードの変更及び個人情報を含 むファイルの管理を徹底する。 - 事案の発生から発覚まで職員間の共有がなく、市への報告が遅れたことから、今後、組織内の共有及び市への報告を直ちに行うこと。
5 今後の対応
- 二次被害についても専門業者と継続して対策を講じ、指定管理者職員によるインターネット上のパトロールも実施します。
- 流出の可能性があった個人情報の対象となる方に対し、周知とお詫び及び被害が発生していないか聞き取りを行ってまいります。
市民の皆様をはじめ利用者や関係の皆様にはご心配とご迷惑をお掛けすることとなり深くお詫び申し上げます。
今後、このような事案を発生させないよう再発防止に努めてまいります。
【セキュリティ事件簿#2024-052】株式会社クレイツ 弊社が運営していた「クレイツ公式オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/2/20
この度、弊社が運営していた「クレイツ公式オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(4,748件)が漏えいし、また、お客様の個人情報(65,520名)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
外部専門機関によるフォレンジック調査および社内調査が完了しましたので、調査結果および再発防止策についてご報告いたします。
なお、個人情報が漏えいした可能性のあるお客様には、本日より電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2023年4月3日、「クレイツ公式オンラインショップ」をリニューアル(旧サイトを閉鎖し、新サイトをオープン)しました。2023年6月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年6月1日弊社が運営する「クレイツ公式オンラインショップ(新サイト)」でのクレジットカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年7月26日、調査機関による調査が完了し、2021年4月21日~2023年4月3日の期間に「クレイツ公式オンラインショップ(旧サイト)」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。なお、新サイトで商品を購入したお客様のクレジットカード情報は漏洩していないことを確認しております。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏えい状況(フォレンジック調査及び社内調査により判明した事実)
(1)原因
第三者が、弊社が運営する旧サイトのシステムの一部の脆弱性を利用した不正な注文により、旧サイトを改ざんし、クレジットカード情報やその他の個人情報を入力する際にこれらの情報を窃取するプログラムを埋め込んだものと考えられます。
(2) クレジットカード情報漏えいの可能性があるお客様
2021年4月21日~2023年4月3日の期間中に旧サイトにおいてクレジットカード決済をされたお客様4,583名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する4,583名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。
(3)その他の個人情報が漏えいした可能性のあるお客様
2023年4月3日以前に旧サイトにおいて顧客情報を入力したことがあるお客様65,520名で、漏えいした可能性のある情報は以下のとおりです。
・氏名
・生年月日
・性別
・住所
・電話番号
・メールアドレス
・「クレイツ公式オンラインショップ」ログインパスワード
・商品の配送先様氏名(配送先が購入者様と別の場合)
・商品の配送先様住所(配送先が購入者様と別の場合)
・商品の配送先様電話番号(配送先が購入者様と別の場合)
上記に該当する65,520名のお客様についても、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。
お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが、クレジットカードの裏面に記載の
クレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
公表が遅れた経緯について
2023年6月1日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くおそれがあるため、十分な調査と調査結果を踏まえてお客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が必要不可欠であると判断し調査会社から調査結果を受領し、確実な情報をお知らせできるようにカード会社その他関係機関との連携を十分にとった上で公表することに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
現在ショッピングサービスを停止している新サイトについては、再開することとなりましたら、決定次第、改めて弊社Webサイト上にてお知らせいたします。
また、弊社は本件につきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、福岡県警南警察署生活安全課にも2023年7月31日に被害相談しており、今後捜査にも全面的に協力してまいります。
Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年3月号)※3か月目
今月も2件の新規融資を実行する。
これで総投資案件は6件。
1月に融資実行した案件からの返済が始まった。返済率は15%前後
返済された金額は”Kiva Credit”として次回の融資実行時に請求金額から割引を受けることができる。というか、デフォルトでクレジットを使う設定になる。
クレジットを使ってしまうと検証にならないので、クレジットは毎回きちんと外すようにすることが重要。
■融資条件
- LOAN LENGTH:8 mths or less
- RISK RATING:4-5
- DEFAULT RATE:~1%
- PROFITABILITY:4%~
■新規融資案件
融資No:2737152号(https://www.kiva.org/lend/2737152)
- 融資国:タジキスタン
- Lending partner:Humo
- 期間:8か月
- 融資実行:2024年3月
- 融資額:25USD(≒3,933円)
- 返済率:0%
融資No:2731801号(https://www.kiva.org/lend/2731801)
- 融資国:フィリピン
- Lending partner:Negros Women for Tomorrow Foundation (NWTF)
- 期間:8か月
- 融資実行:2024年3月
- 融資額:25USD(≒3,933円)
- 返済率:0%
■融資済み案件
融資No:2705613号(https://www.kiva.org/lend/2705613)
- 融資国:フィリピン
- Lending partner:Negros Women for Tomorrow Foundation
- 期間:8か月
- 融資実行:2024年1月
- 融資額:30USD(≒4,727.5円)
- 返済率:16%
融資No:2707642号(https://www.kiva.org/lend/2707642)
- 融資国:ニカラグア
- Lending partner:FUNDENUSE
- 期間:8か月
- 融資実行:2024年1月
- 融資額:30USD(≒4,727.5円)
- 返済率:15%
融資No:2716127号(https://www.kiva.org/lend/2716127)
- 融資国:フィリピン
- Lending partner:Negros Women for Tomorrow Foundation
- 期間:8か月
- 融資実行:2024年2月
- 融資額:25USD(≒3,900.5円)
- 返済率:0%
融資No:2718123号(https://www.kiva.org/lend/2718123)
- 融資国:ニカラグア
- Lending partner:MiCredito
- 期間:8か月
- 融資実行:2024年2月
- 融資額:25USD(≒3,900.5円)
- 返済率:0%
【セキュリティ事件簿#2024-051】ビー・スクエア 重要・当社基幹サーバーに対するサイバー攻撃についてお知らせとお詫び 2024/2/13
2月8日、当社内にて管理運用する基幹サーバーに対して、第三者の不正アクセスによるサイバー攻撃を受け、社内システムに障害が発生したことを確認しました(以下「本件」といいます。)。
お客様をはじめ関係者の皆様には深くお詫びを申し上げます。
本件の概要
2024年2月8日17時頃、当社内ファイルサーバーに不具合が生じているとの報告を受けました。
その後、当社内部にて調査をしたところ、サーバーがランサムウェアに感染していることが発覚したため、当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力の下、対策チームを設置いたしました。
その後、同月9日に個人情報保護委員会に報告を行い、同時に第三者調査機関に調査を依頼しました。
第三者調査機関からの調査結果途中報告によると、本件について、当社ネットワークへの不正アクセスが行われたのち、サーバーに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。
なお、当サイトからの個人情報の漏えいはありませんが、個人情報保護法に則った対応を進める予定です。
また、念のため一時的に当サイト内の全商品を非公開とさせていただいております。
復旧には一定期間を要する見込みであり、現在も復旧作業を継続しております。
今後は、再発防止を含めたセキュリティ強化に全力で取り組んでまいります。
お客様及び関係者の皆様には、ご不便およびご迷惑をお掛けし誠に申し訳ございません。 深くお詫び申し上げます。
【セキュリティ事件簿#2024-049】株式会社近大アシスト 不正アクセスによる個人情報の流出について(お詫び)
令和5年(2023年)12月29日にご報告いたしましたとおり、このたび、当社のメールサーバーに不正アクセスがあり、当社ECサイトの顧客を中心とする近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々の個人情報が漏えいしたことが発覚いたしました。
現在までに270名分の個人情報漏えいが判明しており、他に被害がないか引き続き調査を行っております。なお、本日までに本件の情報流出による二次被害の報告はなく、ECサイトは令和5年(2023年)12月28日から運営を停止しております。
令和5年(2023年)12月29日の発表については、こちら(https://kindai-a.co.jp/news/668/)をご確認ください。
該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態が発生したことを重く受け止め、引き続き被害の正確な把握と原因究明に努めるとともに、再発防止に向けて個人情報のより厳格な取り扱いと管理徹底に取り組んでまいります。
事案の内容
令和5年(2023年)12月9日、当社社員のメールアドレス宛に、メールデータをエクスポートしたという通知が届きました。本人に身に覚えがなかったため、メールサーバーの管理会社に問い合わせたところ、何者かが当社社員のメールアカウントに不正にログインしたうえ、当該アカウントを利用し、メールサーバーに不正にアクセスした形跡が見つかりました。
不正にログインされたメールアカウントは3つあり、そのうちの1つを使用して個人情報が記載されたメールデータが抜き取られ、そこには少なくとも263名分の個人情報が記載されていました。また、残り2つのメールアカウントでも、7名分の個人情報が閲覧された可能性がございます。
個人情報を抜き取られた263名のうち261名は、パソコンや実習着などを販売している当社運営のECサイト(アシストショップ)で、令和5年(2023年)3月から同年12月までの間に商品を購入した近畿大学学生および近畿大学病院職員の方々であり、残りの2名は当社が下宿先の紹介を行った近畿大学病院採用予定者の方々です。また、個人情報を閲覧された可能性のある7名は、近畿大学学生、卒業生および他大学教員の方々です。
流出した個人情報の項目
(1)ECサイトを利用された学生様及び病院職員様のもの(261人)
・氏名、電話番号、メールアドレス、住所、ECサイトでの購入品目
※クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。
(2)住宅紹介を利用された令和6年(2024年)4月採用予定者様のもの(2人)
・氏名、電話番号、メールアドレス、住所
閲覧された可能性がある個人情報の項目
当社が印刷業務を受託した学生様、卒業生様及び他大学教員様のもの(7人)
・氏名、電話番号、メールアドレス、住所
対応
・被害に遭われた近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々に対し、状況の説明及びお詫びの通知の送付。
・不正アクセスを行った者を特定するため、引き続き調査。
・個人情報保護委員会へ報告。
・警察への情報提供。
再発防止策
今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。
- 社内システムにおけるパスワードの複雑化、再設定および秘匿化
- よりセキュリティレベルの高いメールサービスへの移行
- 管理体制の見直しとシステム専門委託業者の導入によるシステム部門の強化
- 不正アクセスの有無についての定期的なチェック体制の構築
- 社内向け情報セキュリティ講習の実施
関係者の皆様へのお詫びと本件に関するお問い合わせ先
該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げるとともに、該当する皆様および関係者の方々に、お詫びとお知らせを個別にご連絡いたします。
ご質問やご心配なことがございましたら、以下のお問い合わせ先までご連絡いただきますようお願い申し上げます。
【セキュリティ事件簿#2024-048】トヨタモビリティサービス株式会社 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて
トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。
「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。
対象となるお客様は、2020年11月以降、「Booking Car」のご利用画面にてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は以下のとおりでございます。なお、クレジットカードに関する情報は当システム内に保持しておりませんので、漏洩の可能性はございません。
1 写真アップロード操作で保存した写真データ(顔写真、車両キズ等)
2 車両登録でお客様が設定した車両の画像データ
3 車両・従業員登録に使用する一時ファイルやログ情報
調査の結果、お客様のメールアドレスおよびお客様識別番号が保管されているデータサーバーへの不正アクセスおよび保管データの削除が行われたことが判明いたしました。お客様の個人情報流出の事実は確認できておりませんが、完全には否定できない状況となっております。
メールアドレスおよびお客様識別番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、メールを送付させていただき、お詫びと共に内容のご報告をさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。
1. 経緯と対応
2024年2月2日、「Booking Car」のデータ保管サーバー(Amazon Web Services S3 以下「AWS」といいます。)に対して、システム開発以前から使用されていたアクセスキーを用いて、不正に侵入がなされている事実を確認いたしました。調査の結果、2020年10月~2024年2月2日までの間、システム開発以前から使用されていたアクセスキーを利用することで、データサーバーに保管されているメールアドレスおよびお客様識別番号にアクセスできることが判明致しました。同日、直ちにデータサーバーのアクセスキーの変更および継続的な不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。
なお、「Booking Car」のデータ保管サーバーは、「Booking Car」の運用および当社の提供する他のサービスとは別個独立したサーバーであり、「Booking Car」の運用および当社の提供する他のサービスに影響はございません。
2. 流出の可能性が発生した原因
2020年2月、「Booking Car」開発委託先企業が、過去のプロダクト開発に使用していたAWS保存領域を使用し、「Booking Car」の一部の開発を開始しましたが、その際、過去の別プロダクト用に設定したAWSアクセスキーを無効化または消去するべきところ、2024年2月2日まで、適切に処理されておりませんでした。
本件は、開発委託先企業におけるアクセスキーの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。
弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。
お客様へのお願い
現時点で本件に関わる個人情報の不正利用は確認されておりませんが、差出人や件名に心当たりのない不審なメールを受信された場合は、ウイルス感染や不正アクセス等の危険がありますので、メール内に記載されたアドレス(URL)へのアクセスや添付ファイルの開封を行わず、メール自体を直ちに消去いただくようお願いいたします。
【セキュリティ事件簿#2024-047】鹿児島くみあい食品株式会社 弊社が運営する「クミショクファーム」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営する「クミショクファーム」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,114 件)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
電子メールがお届けできなかったお客様には書状にてご連絡させて頂きます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2023 年 9 月 29 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023 年 9 月 29 日弊社が運営する「クミショクファーム」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023 年 11 月 28 日、調査機関による調査が完了し、2021 年 5 月 30 日~2023 年 9 月 13 日の期間に「クミショクファーム」で購入されたお客様クレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023 年 10 月 17 日までに「クミショクファーム」において会員登録又は商品の購入をされたお客様および商品購入においてお届け先として指定されたお客様の個人情報が漏えいした可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏えい状況
(1)原因
弊社が運営する「クミショクファーム」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2021 年 5 月 30 日~2023 年 9 月 13 日の期間中に「クミショクファーム」においてクレジットカード決済をされたお客様 2,061 名(2,114 件)で、漏えいした可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
・ECサイト認証情報(メールアドレス、電話番号、パスワード)
(3)個人情報漏えいの可能性があるお客様
併せて、データベース上に保管されていた 22,234 名の個人情報も漏えいした可能性があり、可能性のある情報は以下のとおりです。
・氏名
・住所
・電話番号(ECサイト認証ID)
・メールアドレス(ECサイト認証ID)
・ECサイト認証パスワード
・お届け先情報
・性別(※)
・誕生日(※)
・職業(※)
・会社名(※)
(※)「クミショクファーム」での商品ご購入時に当該情報を入力されたお客様のみが対象です。
また、商品購入のお届け先として指定されたお客様についても個人情報が漏えいした可能性があり、可能性のある情報は以下のとおりです。
・氏名
・住所
・電話番号
上記に該当する 22,234 名(うちクレジットカード情報 2,061 名) のお客様については、別途、電子メールにて個別にご連絡申し上げます 。
電子メールがお届けできなかったお客様には書状にてご連絡させていただきます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2023 年 9 月 29 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
「クミショクファーム」の再開につきましては、未定となります。再開する際には、決定次第、改めて Web サイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 10 月 2 日に報告済みであり、また、所轄警察署にも 2023 年 10 月 2 日被害申告しており、今後捜査にも全面的に協力してまいります。
WSL2のKali Linuxで名前解決ができない場合の対応
WSL2でKali Linuxを使っていたら、インターネットに接続できない事象に出くわした。いろいろ調べてみると、ネットワークのドメインを解決できていない模様。
今回はそんな課題にぶち当たった際の原因を特定し、解決するための方法を紹介します。
問題の症状
wsl上のLinuxでpingやapt updateできなくなる。
pingができない
例えばgoogleへのpingが返ってこない。
apt updateができない
apt updateするとTemporary failureが起きる。
対処
wsl2ではDNSサーバの設定であるresolv.confが自動的に生成される。なのでこの設定を変更する。
- powershellから
wslコマンドでログインする。 制御をするためのファイル(/etc/wsl.conf)を作る。
中身を次のようにする。
別のpowershellを立ち上げてwslをシャットダウンさせる。
WSL2を起動して
/etc/resolv.confを書き換える。中身を書き換える。
これでDNSサーバの設定ができドメイン名が解決できるようになる。
【セキュリティ事件簿#2023-107】個人情報保護委員会 株式会社 NTT ドコモ及び株式会社 NTT ネクシアに対する 個人情報の保護に関する法律に基づく行政上の対応について
個人情報保護委員会は、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)に基づき、株式会社 NTT ドコモ及び株式会社 NTTネクシアに対し、令和6年2月 15 日に個人情報保護法第 147 条に基づく指導等を行いましたので、お知らせいたします。
1.事案の概要
ドコモ社は、自社インターネットサービス等に関する事業について、サービス・商品の提案等を行うため、個人データを取り扱っている。
ドコモ社は、これらの事業に関し、ネクシア社に対し、電話営業用の顧客情報管理(以下「本件業務」という。)を含む業務を委託していたところ、ネクシア社の派遣社員であった者(以下「X」という。)が、令和5年3月 30 日、顧客情報管理のために業務上使用する PC(以下「本件 PC」という。)から、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データ(以下「本件個人データ」という。)を同クラウドサービスへアップロードすることにより、外部に流出させ、漏えいのおそれが発生した。
2.事案発生に至った原因
(1) 基準不適合事項
本件業務は、令和4年7月、ドコモ社が株式会社 NTT ぷらら(以下「ぷらら社」という。)を吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件業務に関するネットワーク等の執務環境(本件 PC を含む。)については、以下の①及び②のような、ドコモ社が定めた情報管理規程に一部適合しない事項(以下「基準不適合事項」という。)が存在した。
① 顧客情報を取り扱う場合は専用の PC を利用し、顧客情報を取り扱う PC においてはインターネット及びメールの利用が制限される必要があるが、これらの制限が実施されていなかった。
② 顧客情報(ファイルシステム及びデータベース)の暗号化が必要であるところ、これが行われていなかった。
(2) 追加的運用ルール
ドコモ社は、この基準不適合事項について、速やかに技術的な対応を行うことが困難であると判断した。そこで、ドコモ社は、本件業務を行う際は、以下に例示したような、ぷらら社における運用ルール(以下「追加的運用ルール」という。)に従うことを条件とし、令和4
年 12 月までの時限的例外措置として、基準不適合事項を許容することとした。
・ PC で実施した作業データは、当日中に全て削除すること
・ 業務上不要な私的インターネット接続の禁止
・ 社外へのデータ送信時の手動暗号化徹底
・ 追加的運用ルールの遵守状況について定期的に自主点検を行うこと
さらに、ドコモ社は、その後、基準不適合事項への技術的な対応に時間を要すること等が判明したことから、追加的運用ルール遵守を条件に基準不適合事項を許容する期限を令和5年5月まで延長した。
(3) 本件漏えいのおそれの発生に至ったXの取扱い
Xは、本件業務にてデータ管理ツールを開発するにあたり、個人データが含まれた同ツールを本件 PC 内の自身しか把握していない保存場所にコピー保存の上で開発作業を実施していたところ、当日作業の終了時に至っても、本件 PC 上の同ツールを削除していなかった。さらに、Xは、業務上の必要性がないにもかかわらず、クラウドサービスに個人アカウントでログインし、本件個人データをアップロードした。
(4) 小括
このように、ドコモ社及びネクシア社においては、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されず、本件漏えいのおそれが発生した。
3.法律上の問題点
(1) ドコモ社
法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定しており、法第 25 条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定している。
しかしながら、ドコモ社では、個人情報等の取扱いについて、以下の問題点が認められた。
ア 物理的安全管理措置(個人データを取り扱う区域の管理)
ドコモ社では、情報管理規程で定めるところにより、顧客の個人データを取り扱う場合はインターネット及びメールの利用が制限された専用の PC を利用することとし、インターネット及びメールを利用する PC とは取扱区域を分けて管理するルールであった。
しかし、本件 PC は、個人データを取り扱うにもかかわらずインターネット及びメール利用の制限がなされておらず、当時の物理的安全管理措置(個人データを取り扱う区域の管理)は十分な状態とはいえなかった。
イ 技術的安全管理措置(情報システムの使用に伴う漏えい等の防止)
ドコモ社では、個人データの漏えい等を防止するための措置として、本件業務も含めて、ネットワーク監視を行っており、Xがクラウドサービスへアップロードした操作についても発生当日に検知し、当日中にXへの聴取と対象端末のネットワークからの切断を行っていたことからすれば、一定の処置を講じていたといえる。
しかし、本件業務に関するネットワーク環境についてみると、外部インターネットへのアクセス規制については、一部のサイトを接続不可と定めるブラックリスト方式で運用されており、ファイル共有サービス等のクラウドサービスも含めて、業務上不必要なサイトには接続できない設定とはしていなかったものであり、大量の顧客個人データを取り扱っているシステムであるにもかかわらず、漏えい等の防止の措置が十分ではなかった。
ウ 組織的安全管理措置(個人データの取扱いに係る規律に従った運用)の不備
ドコモ社は、前記ア及びイの物理的安全管理措置及び技術的安全管理措置に関する問題点について、前記2.(2)のとおり、組織的安全管理措置の徹底により総合的なリスクを低減させる方針を決定したものであるから、この決定に従った運用が実際に徹底されることが重要である。
ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況に対して、追加的運用ルールを規定し運用していたところ、本件業務における同運用確保のための取組では、日次で行わせる自主点検の結果を月次で確認することで、確実に徹底されていることを確認することとしていた。
しかし、上記取組では、自主点検において虚偽の申告が含まれないことを前提としているため、意図的に追加的運用ルールに反したXの取扱いは是正できず、また、自主点検結果の月次の確認では、いつ行われるか予測できない私的なインターネット接続を即時で検知できないものである。したがって、ドコモ社においては、個人データの取扱いに係る規律に従った運用に問題があり、組織的安全管理措置の不備があったものと言わざるを得ない。
エ 委託先の監督の不備(委託先における個人データの取扱状況の把握)
ドコモ社は、ネクシア社に対し、本件業務に関して、追加的運用ルールを遵守するよう周知していた。また、ネクシア社は、日次で、本人及び第三者にて業務終了時作業データの削除確認等を行い、その結果を管理簿に記録するという自主点検を実施し、この結果について、月次でドコモ社へ提出していた。
しかしながら、ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況でありながら、ネクシア社に対し、大量の個人データの取扱いを委託しているにもかかわらず、自ら又は外部の主体による監査を実施することはなく、ネクシア社の自主点検に任せ、月次で結果報告を受け取るだけであった。その結果として、X の不適切な行為を発見できず、本件漏えいのおそれの発生を未然に防ぐことができなかったものといえる。
また、Xの不適切な行為を自主点検により発見することができなかった理由として、ドコモ社は、Xが自主点検をすり抜けるという手口を使っていたことが要因である旨を回答している。しかしながら、ドコモ社がネクシア社に行わせていた自主点検は、従業者にデータを削除したことを自己申告させ、他の従業者がデスクトップ上に不要なデータが残っていないかどうかを確認するという簡易な方法にとどまっており、本件のように意図的にデータ削除せず、自身しか把握していないデスクトップ以外の場所に保存した場合は、発見され得ないことは容易に想定可能であるから、点検項目や点検の方法が不十分であったといえる。したがって、その報告を月次で受領し確認するだけであったドコモ社の委託元としての監督は、不十分であったと言わざるを得ない。
(2) ネクシア社
法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、ネクシア社では、個人情報等の取扱いについて、以下の問題点が認められた。
ア 組織的安全管理措置(取扱状況の把握及び安全管理措置の見直し)
ネクシア社では、自主点検は実施していたものの、他部署等による監査は実施しておらず、大量の個人データの取扱いがある本件業務において、Xが本件 PC 内に作業データを日常的に残しており、また、私的なインターネット接続を是正できなかったことを踏まえると、個人データの取扱状況の把握や安全管理措置の評価等が不十分であったと言わざるを得ず、組織的安全管理措置の不備が認められる。
イ 人的安全管理措置(従業者の教育)
ネクシア社では、派遣社員であるXを含む従業者に、情報セキュリティ遵守のため機密保持に関する誓約書を提出させ、また、情報セキュリティ研修の実施を行っていたものの、情報セキュリティ研修では、一般的な情報セキュリティの考え方及び法の令和2年改正部分を紹介するにとどまっており、大量の顧客データを管理する事業者における研修としては十分とはいえず、結果としてXによる本件漏えいのおそれの発生を防止するに至らなかった。
したがって、ネクシア社における従業者の教育は、従業者が適切な情報セキュリティの確保や個人データの適正な取扱いの重要性に関する認識を醸成するには不十分な内容であったと言わざるを得ず、人的安全管理措置の不備が認められる。
4.指導等の内容
(1) ドコモ社
- 法第 23 条、法第 25 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
- 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。
(2) ネクシア社
- 法第 23 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
- 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。
IHGによる、マルチクラウドを活用したホスピタリティの最大化に向けた戦略
多国籍企業ホテルグループにおけるマルチクラウドアーキテクチャは、何千ものフランチャイズとそのゲストに革新的なデジタルサービスを提供し、顧客体験と収益の両方を向上させることを目指しています。
IHGにとって、クラウドはビジネスの成功にぴったりの宿泊施設を提供を支援します。「最も重要なのは、クラウドへの移行を私たちの技術とビジネス戦略の極めて重要な部分と見ています」と、チーフコマーシャル&テクノロジーオフィサーであるジョージ・ターナー氏が述べています。同社は、19のホテルブランドでより多くのデジタルビジネスを推進するために、高度なクラウドインフラストラクチャ、チャットボット、およびAIに重点を置いています。
 |
| IHG:ジョージ・ターナー氏 |
IHGのホテルの70%以上はフランチャイズであり、親会社であるIHGは実質的に、6,100のフランチャイズ所有のホテルの稼働率と収益を支えるテクノロジー企業です。
ターナーはホテルオーナーやゲストに革新的なサービスを継続的に提供するための組織を監督し、同時に彼のチームがIHGの内部技術スタックとサービスを拡充し続けるよう指導しています。
そして、アビアトリックスのクラウドネットワーキングとエクイニクスのインターコネクション技術によって支えられた重厚なマルチクラウドアーキテクチャは、ターナーにIHGホテルグループをその主要顧客であるビジネスおよびレジャーのゲスト、およびホテルオーナーをより密接にしています。
クラウドはまた、IHGが「企業に対する商業的な価値を高める」のを支援しています。かつて数年かかっていたことを、数ヶ月でクラウドで革新することができる、とターナーは述べています。「例えば、6ヶ月の間に、私たちはクラウドの機能を活用して完全に新しい需要予測モデルを作成しました」と彼は述べています。
さらに、IHGのクラウドバックボーンは、Speakeasy AIの会話型チャットボットなどのSaaSを活用し、数百のホテルでゲストとフロントデスクのクラークを支援するための自社AIサービスを提供することを可能にしています。
IHGのクラウド革新は、ホテル業界全体の大きなトレンドの象徴だとIDCのアナリストは述べており、ホテル業界で「クラウドへの移行を始める活動が活発化している」と観察しています。
この推進要因の1つは、大規模なイノベーションをより速く行う能力であり、ホテルの60%がクラウドファーストのアプローチに移行している一方で、特定のアプリケーションについてはオンプレミスのITスタックを引き続き利用しています。
マルチクラウド成功のためのマルチパートナー戦略
5年前にクラウドへの舵を切ったIHGは、Amazon Web ServicesやGoogle Cloud Platform上で新しいワークロードを移行および開発しつつ、米国の東海岸と西海岸にデータセンターを保持するハイブリッドアプローチも取っています。
この会社は数千人のITプロフェッショナルを雇用しており、多くのSaaSパートナーやコンサルティング会社と連携してサービスを提供しています。
たとえば、Googleの機械学習機能を活用した需要予測モデルは、ボストンコンサルティンググループと協力して開発されました。
IHGのもう1つのパートナーであるAviatrixは、同社のマルチクラウドアーキテクチャ向けのクラウドネットワークを提供しており、これにはAWSとGCPだけでなく、IHGの予約パートナーであるアマデウスがそちらに移行したことでMicrosoft Azureも含まれています。
「インフラストラクチャチームは、すべてを同じように見せたいと望んでいます。彼らは、同じネットワーキング、同じ自動化、同じ可視性、同じセキュリティなど、すべての要素が異なるクラウドごとにスキルセットを持ち、それぞれで異なるアプローチをとることなく一貫していることを望んでいます」と、Aviatrixのマーケティングエグゼクティブであるロッド・ステュールマラー氏が述べています。彼は、ターナー氏と共にIHGのクラウドに取り組んでいます。
IHGは、データとワークロードを世界のIHGマルチクラウドアーキテクチャ全体で迅速かつ高速に移動させるための複数の地域間接続を提供するEquinixとも提携しています。
ターナー氏によると、IHGはホテルオーナー向けに予約管理モデルを開発中であり、さらにゲストやホテルオーナー向けに多数のチャットボットやデジタルサービスを提供しています。その中には、新規予約の50%以上を占める高度なモバイルアプリケーションも含まれています。
こうしたイノベーションのおかげで、IHGのデジタルチャネルは急速に増加しています。2022年には、全体の顧客の20%とデジタルチャネルで通じましたが、前年は4%でした。IHGの代表者によると、同社のSpeech AIは初年度に360万以上の予約会話を処理し、革新的なデジタルコンシェルジュはこれまでに数百万のゲストリクエストを処理しています。
これらのイノベーションは、例えば、部屋の景色やエレベーターに近い部屋を選択したり、駐車場を事前に支払ったりすることができるようにすることで、顧客体験を向上させています。
【セキュリティ事件簿#2024-046】建設連合国民健康保険組合 静岡県支部におけるUSBメモリ紛失について
1 概要
当国保組合の静岡県支部では、組合員の皆様の情報を管理するための台帳を毎年作成しており、その印刷・製本を外部業者に委託しております。
令和6年1月26日、例年と同様に台帳作成用データの授受作業に取り掛かろうとした際、毎年使用しているUSBメモリ(1本)が支部事務所内の所定の場所に保管されていないことが判明しました。(前年の委託時から最大約1年間紛失の状態が続いていたと思われます。)
その後、支部事務所内及び外部業者などをくまなく捜索しましたが、発見できておりません。
なお、現在までに情報の外部流出による被害は確認されておりません。
2 データ内容
静岡県支部の被保険者(組合員及びご家族)の情報のうち、「氏名」、「郵便番号」、「住所」、「生年月日」、「電話番号」、「当国保組合の資格取得日」、「当該支部内での管理番号」。(3,775件)
※口座番号や、健康保険を使用した履歴や病歴などの情報は入っておりません。
3 データ保護策
当該USBメモリに保存されたデータには、高度な暗号化及び複雑なパスワード設定による漏えい防止策が施されています。
4 再発の防止について
今回については、USBメモリの受け渡し記録及びUSBメモリの管理体制が不十分であったことが原因です。以下の対応を行い、再発防止に努めます。
○個人情報を含むUSBメモリ等の授受の際は、必ず複数人で確認し、日付・用途・ 担当者・先方の担当者等を記録し、所定の場所にUSBメモリ等が正しく格納されているか定期的に確認することを徹底する。
○授受の際は必ず受領書を発行し、互いに押印し原本と写しを双方で保管することを徹底する。
○高度な暗号化及び複雑なパスワードの設定を引き続き徹底する。
静岡県支部の関係者の皆様には、ご迷惑とご心配をおかけする結果となりましたことを深くお詫び申し上げるとともに、再発防止に努めてまいります。
現在、該当する組合員へお知らせする準備を進めています。
登録:
コメント (Atom)