【セキュリティ事件簿#2024-132】富士ソフトサービスビューロ株式会社 個人情報の私的利用に関するお詫びとお知らせ 2024/3/29

この度、当社が郡山市から受託しました「郡山市マイナンバーカード交付等業務」におきまして、同業務に従事していた当社の社員（以下「本社員」といいます。）が市民の方 1 名の個人情報を私的に利用したことが判明いたしました。

関係する方々には多大なご迷惑とご心配をおかけすることとなりましたことを深くお詫び申し上げます。

当社としましては、今回の事態を重く受け止め、個人情報の取扱いに関する安全管理を改めて徹底し、再発防止に取り組んでまいります。

1. 概要

本社員が、2023 年 9 月下旬ごろに手続きのため来庁した市民の方 1 名に対し、自らの私的な目的のため氏名、生年月日、電話番号を筆記具にてメモした後、本社員の携帯電話に登録を行い、市民の方に連絡をする私的利用を行ったことが 2024 年 3 月 15 日に判明いたしました。

2. 私的利用を行った個人データの項目

氏名、生年月日、電話番号

3. 原因

本社員が来庁した市民の方に好意を持ち、後に会いたいという自らの私的な目的のため市民の方の個人情報を利用しようとしたことが原因です。

4. 対応状況

当社は、当該市民の方へ謝罪を行いました。

また、本社員を 3 月 25 日（月）付けで懲戒解雇とするとともに、本社員への告発手続きを進めております。

5. 再発防止策

当社は、今回の事態を重く受け止め、本件を社内で周知し、当社の全社員に対して個人情報保護の再教育を行うと共に、事務手順の見直し等の業務改善策を実施し再発防止に向けて取り組んでまいります。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2024年3月）

 

2024年3月のランサムウェア被害を受けた日系企業のリスト。

Kumagai Gumi Group

組織名

株式会社 熊谷組

ランサムウエアギャング

alphv

関連事件簿

【セキュリティ事件簿#2024-002】株式会社熊谷組　当社サーバへの不正アクセスについてのご報告

tmt-mc.jp

組織名

TMTマシナリー株式会社

ランサムウエアギャング

lockbit3

関連事件簿

【セキュリティ事件簿#2024-117】TMTマシナリー株式会社　当社システムへの不正アクセス事案について　2024/3/26

Sysmex

組織名

シスメックス株式会社

ランサムウエアギャング

hunters

関連事件簿

なし

その他

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年4月号）※4か月目

 

1.融資済み案件の状況

全体としては160USDの投資に対して、28.91USDが返済されている感じ。

1件遅延が発生しているのが少し気になる。

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：16%⇒32%　※滞納発生中

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：15%⇒30％

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%⇒24%

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%⇒16%

融資No：2737152号（https://www.kiva.org/lend/2737152）

• 融資国：タジキスタン
• Lending partner：Humo
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：0%

融資No：2731801号（https://www.kiva.org/lend/2731801）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation (NWTF)
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：0%

2.新規融資案件 

融資条件

• LOAN LENGTH：8 mths or less
  
  
• RISK RATING：4-5
  星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。
  
  
• DEFAULT RATE：～1%
  返済に失敗した（もはや返済していない）終了ローンの割合。
  
  
• PROFITABILITY：4%～
  フィールド・パートナーの収益性を示す指標。

今月の新規融資先

融資No：2751150号（https://www.kiva.org/lend/2751150）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3952.5円）
• 返済率：0%

融資No：2738778号（https://www.kiva.org/lend/2738778）

• 融資国：パラグアイ
• Lending partner：Fundación Paraguaya
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3952.5円）
• 返済率：0%

2024年の匿名VPNサービス6選

匿名（ログなし）VPNをお探しですか？

今回は匿名性とセキュリティを優先するVPNサービスをピックアップしてみました。

• NordVPN
• Mullvad VPN
• ExpressVPN
• ProtonVPN
• Surfshark
• CyberGhost VPN

VPNプロバイダーが「ノー・ログ・ポリシー」を謳っている場合、それはユーザーのオンライン活動やデータを保存したり「ログ」したりしないことを意味します。これには、閲覧履歴、IPアドレス、ダウンロードしたファイルなど、個人を特定できるような機密情報も含まれます。

VPNは主にオンライントラフィックを保護するために使用され、ターゲット広告を回避したり、所在地を隠したり、個人データのセキュリティとプライバシーを確保するために、ユーザーを匿名化するのに役立ちます。

多くのVPNプロバイダーは、ノー・ログ・ポリシーを宣伝しているかもしれませんが、すべてのプロバイダーがその約束を守っているわけではありません。プロバイダーによっては、そのポリシーを確認するための独立したセキュリティ監査を行っておらず、すべてを信頼に委ねているところもあります。さらに悪いことに、一部のVPNプロバイダーは、ログを取らないと主張しているにもかかわらず、ログを取得しているところもあります。

今回は、匿名でのブラウジングを支援し、ログを取得していないことを証明する第三者機関による監査を実施しているVPNを紹介します。

NordVPN

NordVPNは、プライバシーとセキュリティに特化した幅広い機能を提供し、今日のトップVPNの1つとなっています。二重VPN機能、難読化されたサーバー、強力なAES-256暗号化、マルウェアや広告に対する保護を提供します。これは、直感的なアプリケーションと高速なインターネットパフォーマンスの上にあります。

セキュリティ監査について、NordVPNのノーログポリシーは2023年1月にDeloitteによって最後に確認されています。そのアーキテクチャとモバイルアプリのセキュリティもまた、2023年2月にCure53によって監査され、裏付けられています。

価格設定

NordVPNには3タイプがあります。Standard、Plus、Completeの3つのうち、Plusは機能と価格のバランスが最も優れています。VPN、マルウェア保護、データ漏洩スキャン、広告ブロックが含まれています。

NordVPN Plus 1ヶ月： 月額13.99ドル

NordVPN Plus 1年：月額5.49ドル。

NordVPN Plus 2年: 月額$4.79。

特徴

• 61カ国に6,033のサーバー。
• マルウェア、広告、トラッカーに対する脅威からの保護。
• 最大6つの同時接続をサポート
• ダークウェブ監視
• 暗号化されたファイル共有機能

長所

• セキュリティとプライバシーに特化したサーバー
• 高速で高信頼性
• 独立監査によるノーログポリシー
• 直感的なデスクトップアプリケーション

短所

• 無料版無し
• 高額

Mullvad VPN

Mullvad VPNは、匿名性とプライバシーを重視したサービスであるため、プライバシー保護に熱心なユーザーから長い間高い評価を得ており、その評判に恥じないサービスを提供しています。Mullvadはユニークで匿名性の高いアカウント番号システムを採用しており、アカウントを作成する際に個人のEメールを共有する必要がありません。

さらに、このVPNでは、ユーザーは現金または物理的なバウチャーでサービス料金を支払うことができます。これにより、ユーザーは通常のクレジットカードやPayPalでの支払いを避けることができ、機密性の高い支払い情報を渡す必要がなくなります。

また、2022年6月にAssured ABによってログを残さないポリシーが確認され、Radically Open Securityによる最新のインフラ監査が2023年8月に発表されたばかりです。

価格

月額5ユーロまたは5.49ドル（サブスクリプションの長さによるディスカウントは無し）。

特徴

• 匿名のユーザーアカウント番号
• 40カ国651サーバー
• 分割トンネリング
• キルスイッチ内蔵

長所

• 独立監査によるログなしポリシー。
• 手頃な月額利用料。
• 満足なスピードとパフォーマンス。
• 使いやすいデスクトップアプリ。
• 現金またはバウチャーでの支払いが可能。

短所

• サーバーネットワークが小さい
• 長期契約は高額になる可能性がある。
• 無料トライアルがない

ExpressVPN

サードパーティテストへの強いコミットメントを示しているVPNプロバイダーを探しているなら、ExpressVPNをチェックしてください。ExpressVPNは、VPNデスクトップアプリ、ブラウザ拡張機能、モバイル対応を含む製品群全体に対して、合計16の第三者機関による監査を受けています。これは、ExpressVPNがサービス全体のセキュリティの主張をテストすることを恐れていないことを示しています。幸いなことに、これらの監査は、大規模なサーバーネットワーク、よく設計されたユーザーインターフェイス、高速な全体的な速度を提供する非常に堅実なVPNサービスを補完しています。

ExpressVPNの直近の監査は2022年11月、Cure53によるLightwayプロトコルの監査でした。

価格

1ヶ月 月額$12.95

6ヶ月： 月額9.99ドル

1年間：月額6.67ドル

特徴

• RAM専用サーバーテクノロジー
• リモートとして動作するブラウザ拡張機能
• 最大8台までの同時デバイス接続
• 105カ国にサーバー設置

長所

• 直感的で優れたデザインのアプリ・インターフェイス
• 高速で高信頼性

短所

• 他のVPNほどお手頃価格ではない
• 2年または3年のサブスクリプションオプションがない。

ProtonVPN

政府の介入やデータ要求を心配するユーザーは、ProtonVPNを試してみるべきです。ProtonVPNは、世界で最も強力なプライバシー法の国であるスイスに拠点を置いているというユニークな利点があります。これは、当局が監視目的でVPNからユーザーデータを押収するかもしれないという懸念を軽減するのに役立ちます。

ProtonVPNはまた、オープンソースであり、そのコードは脆弱性やリスクを検査するために公開されていることを意味します。

プロトンVPNのログなしポリシーは、Securitumによる2023年4月のセキュリティ監査にも合格しています。

価格

ProtonVPNには無料版以外に2つの段階があります： PlusとUnlimitedです。PlusにはVPN本体が含まれ、UnlimitedにはProton Mail、Pass、DriveといったProtonの他のサービスが含まれます。

• 無料
• Proton VPN Plus1ヶ月： 月額9.99ドル
• Proton VPN Plus1年：月額5.99ドル
• Proton VPN Plus2年：月額4.99ドル。

特徴

• 71カ国に3,097のサーバー。
• 無料版あり。
• 10 GBps対応のサーバー
• 最大10同時接続をサポート

長所

• 無料版でもデータ制限なし
• 独立監査によるログなしポリシー。
• オープンソース
• プライバシーに配慮したスイスに本拠地を置く

短所

• ライブチャットは有料ユーザーのみ利用可能。

Surfshark

Surfsharkは、非常に低コストで安全なVPNソリューションを提供します。Surfsharkの1年プランと2年プランは、市場で最も手頃な価格の一部です。また、すべてのSurfsharkプランでデバイス接続が無制限になり、追加コストなしで複数のデバイスを保護できます。

Surfsharkのログなしポリシーは、2023年1月にDeloitteによって確認されました。直近の監査は2023年12月に行われ、SurfsharkのAndroidモバイルアプリは独立機関によるモバイルアプリセキュリティ評価（MASA）に合格しました。

価格設定

Surfsharkには3つのランク（Starter、One、One+）があり、Surfshark Oneをお勧めします。Surfshark Oneは、ウイルス対策、侵害アラート、データセキュリティレポートなど、Starterにはない機能を失うことなく、低料金で提供しています。

Surfshark One 1ヶ月： 月額14.99ドル

Surfshark One 1年：月額4.09ドル

Surfshark One 2年：月額2.69ドル。

特徴

• 100カ国、3,200以上のサーバー。
• 24時間365日のライブサポートとガイド
• 無制限のデバイス接続
• RAM専用サーバー
• ウイルス対策とデータ漏洩監視
• マルチホップ

長所

• 手頃な価格設定
• 直感的なユーザーインターフェース
• 速いスピードとパフォーマンス。
• 1つのアカウントで複数のデバイスを保護できる

短所

• 無料版がない
• Windowsの無料トライアルがない
• 月額サブスクリプションは割高。
• バグが多い。

CyberGhost VPN

数多くのロケーションに広がる大規模なサーバーネットワークをお探しの方は、CyberGhost VPNをご検討ください。現在、100カ国、126の場所に11,529のサーバーがあり、ユーザーは多くの地域から柔軟に自分の場所を隠すことができます。CyberGhostはまた、最適化されたトレントサーバーを通じて、安全かつ匿名でトレントサイトにアクセスすることができます。

CyberGhost VPNは、2022年9月にDeloitteによって確認された強力なノーログポリシーを持っています。CyberGhost VPNはまた、法的機関や企業所有者から受けたデータ要求の数に関する情報を含む透明性レポートを毎年定期的に発行しています。これは2011年から行っているもので、VPNプロバイダーの透明性を示すものとして称賛に値する。

価格

1ヶ月 月額12.99ドル

6ヶ月 6.99ドル/月

2年間：月額$2.03

特徴

• 100ヶ国、126ヶ所に11,529台のサーバーを設置。
• 匿名トレント用に特化したサーバー。
• 毎年定期的に発行される透明性レポート。
• RAM専用サーバー
• カスタマイズ可能なスマートルールパネル
• 最大7つの同時接続をサポート

長所

• クレジットカード不要の24時間無料トライアル。
• 手頃な価格の2年プラン
• 45日間の返金保証
• 独立監査によるログなしポリシー
• ゲームとストリーミングに特化したサーバー。
• 広範なサーバーとロケーションネットワーク

短所

• 年間プランがない
• 月額プランは14日間の返金保証のみ。

虚偽の説明でログを取得していたVPNサービス

VPNプロバイダーの中には、ログを記録しないと宣伝しているにもかかわらず、データを記録していたり、その主張と矛盾するプライバシーポリシーを持っていたことが判明したプロバイダーがいくつかあります。これらのVPNのいくつかは、その後所有者が変わったり、関連する変更を実施していますが、これらの事件には注意する必要があります。

• IPVanish VPN: 2016年、IPVanishは児童ポルノの容疑者を追跡するために米国国土安全保障省にユーザーログを提供したと報じられました。当初ログはないと主張していましたが、実はログが存在しデータを当局に渡したことが報告されました。
  
  
• Hotspot Shield VPN: 2017年、Center for Democracy and TechnologyはHotspot Shieldが無料版で収集した機密ユーザーデータを販売していると非難しました。
  
  
• ノートン・セキュアVPN: ノーログポリシーを掲げているが、ノートンのグローバルプライバシーステートメントを見ると、ユーザーが望む以上のデータを収集していることがわかる。その例としては、ユーザーのデバイス名、IPアドレス、クッキー内のセッション、URLなどが挙げられる。
  
  
• Speedify VPN: Speedifyのプライバシーポリシーには、ログを残さないというポリシーがあるにもかかわらず、SpeedifyのウェブサイトにアクセスしたユーザーのIPアドレス、ブラウザの種類、アクセスしたページを保存することが明記されています。

出典：6 Best Anonymous (No-Log) VPNs for 2024

【セキュリティ事件簿#2024-130】別府大学・別府大学短期大学部 大学事務局職員によるメール誤送信について 2024/3/5

 

2024年2月17日（土）に、大学事務局の職員が本学学生の「成績通知書のＰＤＦファイル」（文学部史学・文化財学科4年生全員分）を、誤って他学科の学生（1名）へ送信するという事案が発生しました。

誤送信後、直ちに送信相手の学生へ連絡をとり、ＰＤＦファイルを開く前に、当該メールを削除したことを確認しています。

学生及び保護者の皆様をはじめ、本学をご支援いただいている多くの皆様に多大なるご迷惑、ご心配をおかけすることになりましたことを、心よりお詫び申し上げます。

今後はこのような事態を発生させないよう担当者はもとより、部署全体で作業手順の見直しや職員教育を徹底するなど、業務改善を行ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-129】神戸市 職員の懲戒処分について 2024/3/22

 

１.被処分者

北区　（一般職員・男性・56歳）

２.処分内容

免職

３.処分年月日

2024年３月22日

４.処分理由

被処分者は、2023年７月20日夕方、職場にある端末を操作し、職務と関係なく、個人の所得情報等を閲覧し、誤った所得情報の入力を行った。その結果、同人に対し誤った国民健康保険料が賦課されることとなった。さらに、2022年６月以降、職務と関係なく、同人を含む99名分の個人情報を閲覧していたことが判明した。

なお、被処分者は、職場にある端末を使い、職務と関係なく個人情報を閲覧したとして、2019年３月28日付で減給（1/10、３月間）の懲戒処分を受けている。

このような行為は、公務員としてあるまじき行為であり、神戸市及び神戸市職員全体の信用を著しく失墜させる行為であるため上記処分を行った。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-128】株式会社イーアールアイ 不正アクセス被害によるスパムメール送信に関してのお詫び 2024/4/4

 

2024年4月2日、弊社のメールサービスを管理している運営会社様より連絡があり、弊社スタッフ1名のメールアカウントが不正アクセスの被害に遭い、当該アカウントがスパムメール送信の踏み台とされていたことが判明いたしました。

弊社のメールアドレスのドメイン: @erii.co.jpから不審なメールが届いていたら、本文中に記載のURLを開いたり、添付ファイルを開いたりせずに、メールを削除していただきますようお願いいたします。

• この不正アクセスによる他の情報漏洩被害について調査しましたが、現時点では確認されておりません。
• 当該アカウントのパスワード変更を行いました。
• 全社員でパスワードの使いまわしがされていないかを点検します。

ご迷惑をおかけしてしまった関係者の皆様には深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-101】梅小路ポテル京都 不正アクセスによるお客様の個人情報流出の可能性とフィッシングサイトに誘導するメッセージの配信について 2024/4/10

Booking.com社が提供し、梅小路ポテル京都において管理・利用する宿泊予約情報管理システム（以下、管理システム）が不正アクセスを受けログインをされたこと、また一部のお客様に対してフィッシングサイトへ誘導するメッセージが配信されたことにつきまして、お客様・関係者の皆様にご心配をおかけしており深くお詫び申し上げます。前回（2024年 3月6日）のお知らせ以降、調査により判明しました事実につきまして、以下のとおりご報告いたします。

調査結果

事象①（管理システムへの不正ログインによる個人情報の流出の可能性について）

管理システム内の宿泊予約情報（宿泊日を2023年3月6日から2024年12月31日とするもの）に含まれるお客様の個人情報（住所・氏名・電話番号・クレジットカード情報含む）が流出した可能性につきましては、システム提供元のBooking.com社へ調査を依頼し、確認を行った結果、情報の閲覧及び流出を含め、管理システム内の個人情報が侵害を受けた形跡は確認されなかったとの報告を受けております。

事象②（フィッシングサイトへの誘導メッセージが一部のお客様に配信された影響について）

管理システム内のメッセンジャー機能を通じて、フィッシングサイトへ誘導するURLリンクが付されたメッセージが一部のお客様（162名）に配信された件につきましては、クレジットカード番号の入力を促す内容が確認されたものの、お客様への直接的な金銭被害は確認されませんでした。

今後の対応と再発防止策

今回の事象を踏まえ、従業員に対する教育等を再度実施しました。今後も引き続き、更なる対策の強化を行ってまいります。また、今後万が一、個人情報流出やフィッシングによるお客様の被害が確認された場合には、関係先に速やかに連絡し、必要な対応をいたします。

リリース文（アーカイブ）

【2024/3/6リリース分】

リリース文（アーカイブ） 

【セキュリティ事件簿#2024-127】お茶の水女子大学研究室サーバへの不正アクセスについて 2024/4/2

お茶の水女子大学の研究室にて運用していた計算用サーバが、不正アクセスにより攻撃の踏み台とされていたことが判明いたしました。

1．本件の経緯

2024年3月18日（月）、外部機関より本学ネットワーク（IPアドレス：133.65.145.181）より不審な通信があるとの通報がありました。調査したところ、研究室にて運用している計算用サーバが、意図しない海外からの不正ログインをうけ攻撃の踏み台とされていたことが判明いたしました。

2．原因

当該サーバの構築時に「test」というユーザが作成され、そのユーザに安易なパスワードが設定されていました。また、学外に対して適切なセキュリティ対策なしにリモート接続（SSH）可能な状態で運用しておりました。結果、大量のログインを試行され不正なログインに繋がりました。

3．現在の状況

当該サーバはネットワークから遮断されております。

計算用のサーバであったため、個人情報や機密情報の漏洩はございません。

4．今後の対応

今回このような事案が発生し、関係者の皆さまにご迷惑をおかけしましたことを深くお詫び申し上げます。今後、大学として学外公開しているサーバの棚卸およびサーバのセキュリティ対策の確認・指導を行い、再発の防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-126】一般社団法人環境パートナーシップ会議 関東ESD活動支援センターのメールマガジン配信システムへの不正アクセスに関するお詫びとご報告 2024/3/15

 

この度、関東地方ESD活動支援センター業務を受託運営しております一般社団法人環境パートナーシップ会議が管理・発行するメールマガジン「関東ESDニュース」配信サービスに対する第三者からの不正アクセスにより、当該メールマガジン配信用登録情報が流出したことが判明致しました。

皆様には、多大なご心配とご迷惑をおかけ致しておりますことを深くお詫び申し上げます。

１　流出が確認された登録情報　

2024年3月8日以前にメールマガジンに登録をいただいたご利用者様のメールアドレス・氏名・フリガナ・所属・肩書（一部の方）2,296件の情報

２　流出の経緯

(1)不正アクセスがあったメールマガジン

　［関東ESDニュース］

(2)流出の内容（原因）

関東ESDニュースの配信サービスに対する第三者からの不正アクセスがあり、配信先メールアドレスとして登録されている情報が流出したことが判明しました。

(3) 不正アクセスの時期

　2024年3月6日

(4) 対応状況

不正アクセスが判明した3月7日深夜に当該プログラムを停止、3月8日11時30分に当該プログラムから登録情報全件を削除しております。

また、当該メールマガジン配信の新たな登録は行っておりません。

また、情報流出の対象のお客様には、個別にお詫びとご説明のメールをさせて頂いております。

今後新たな事実が判明致しました場合は、同ホームページ等を通じ、逐次お知らせさせて頂きます。

大変申し訳ございませんが、関東地方ESD活動支援センターを装うメールや、詐欺の可能性のある不審なメール等には、何卒ご注意くださいますようお願い申し上げます。

この度は、大切なお客さま情報をお預かりしておりながら、大変なご心配と多大なご迷惑をおかけ致しておりますことを重ねて深くお詫び申し上げます。

警察機関とも連携を取りながら、引き続き調査を進めてまいりますと共に、改めてセキュリティ対策の強化及び再発防止に努めてまいる所存です。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-125】株式会社クラレ 当社グループ元従業員による情報の不正な持ち出しに関するお知らせ 2024/3/25

 

当社は、欧州グループ会社の元従業員が退職直前に当社が保有する情報（個人情報を含む）を不正に持ち出したことを確認いたしました。

持ち出されたデータは、すでに当社に返却され、さらなる外部流出はないことを確認しました。

当社は本件を把握した後、直ちに欧州の個人情報保護当局に報告しております。現時点で本件による個人の権利侵害の恐れは生じておりません。

当社は機密情報を保護するため、法的措置を含むあらゆる必要な措置を講じており、引続き調査と対策を実施してまいります。

今後、当社から公表すべき事項が発生した場合には、速やかにお知らせいたします。

ステークホルダーの皆様にご心配をおかけすることとなり、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-124】マルカワみそ株式会社 当サイトへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/4/2

 

このたび、弊社が運営する「マルカワみそ公式サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（5,447件）および個人情報89,673名分が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報および個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年11月6日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年11月6日弊社が運営する「マルカワみそ公式サイト」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。

2023年12月20日、調査機関による調査が完了し、2023年3月11日～2023年11月13日の期間に「マルカワみそ公式サイト」にてクレジットカード決済で購入されたお客様、および、マイページにてカード情報の登録・変更をされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「マルカワみそ公式サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため

(2)クレジットカード情報漏洩の可能性があるお客様

2023年3月11日～2023年11月13日の期間中に「マルカワみそ公式サイト」においてクレジットカード決済をされたお客様、およびマイページにてクレジットカード情報の登録・変更をされたお客様4,851名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

サイトオープンから2023年11月13日の期間中に「マルカワみそ公式サイト」においてご購入されたお客様、またはマイページにご登録されたお客様89,673名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・フリガナ（任意入力項目）

・メールアドレス

・郵便番号

・住所

・電話番号

・FAX番号

・お届け先情報(任意入力項目)

・購入履歴

※電話注文時のメールアドレス、インターネット注文時のFAX番号、未入力の任意項目など、ご提供頂いていない項目は漏洩対象ではございません。

上記(2)に該当する4,851名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させて頂きます。

また、「マルカワみそ公式サイト」からの購入、またはマイページへの登録・変更に至らずとも、不正アクセスにより弊社サイトに作成された偽のクレジットカード情報入力フォームにカード情報を入力されたお客様につきましてもクレジットカード情報が漏洩した可能性がございます。その場合、弊社では特定することができないため、お心当たりのあるお客様は、弊社窓口までご連絡ください。

また、上記(3)に該当する89,673名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

偽のクレジットカード情報入力フォームのみに入力されたクレジットカード情報も漏洩した可能性がございますが、特定はできておりません。特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社お問い合わせ窓口までご連絡ください。

4.公表までに時間を要した経緯について

2023年11月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「マルカワみそ公式サイト」におけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年11月6日に、また、所轄警察署である福井県越前警察署には2023年11月8日に報告済みであり、2024年2月14日に被害届を提出済みです。今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-122】株式会社フュートレック 不正アクセス発生による社内システム障害に関する調査報告のお知らせ 2024/4/1

 

当社は、当社ホームページにおいて 2024 年３月 12 日に「社内システム障害の発生に関するお詫び」を、また 2024 年３月 13 日に「不正アクセス発生による社内システム障害に関するお詫び（第２報）」を公表いたしましたとおり、当社の一部サーバ等の機器が外部から不正アクセスを受けたことを確認いたしました。

現在も調査及び復旧作業を継続しておりますが、現時点で判明している事実関係及び当社の対応について、以下のとおりお知らせいたします。

お客様をはじめ関係者の皆様には大変なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

１．発覚の経緯と当社の対応

３月 11 日 当社社内システムに障害が発生したことを確認しましたため、社内ネットワークの遮断等の対応を行いました。また、外部専門家等と共に原因や影響範囲についての調査を開始し、同時にお客様に提供している商用ネットワーク（本番環境）に対する確認を行いました。

３月 12 日午後６時頃 調査により、当社の一部サーバ等の機器が外部から不正アクセスを受けたことを確認いたしましたため、社内の対策本部を設置及び警察等の関係機関への届出を行いました。

３月 18 日以降 機器の安全性の確認、及び暫定対策を実施した環境から順次社内の機器及びネットワークを復旧しております。

３月 27 日 外部専門調査会社からフォレンジック調査報告(※)を受けました。

(※)フォレンジック調査とは、コンピュータ等の電子機器に残る記録の証拠保全や調査、分析を行う手段や技術のことです。

２．フォレンジック調査及びこれまでの調査により判明した事実

外部専門調査会社によるフォレンジック調査の結果、ランサムウエアが実行されていること及び当社のサーバ内のデータが外部に流出した可能性があることが確認されました。現時点では、このデータの内容についての特定はできておりません。引き続き調査を進めてまいります。また、調査の範囲において、３月９日に最初の外部からの不正なアクセスがあったことを確認しております。

これまでの社内調査の結果、当社がお客様に対して提供しております商用ネットワーク（本番環境）に対しては、不正なアクセスは確認されておりません。

３．今後の対応

この度の不正なアクセス被害により、お客様をはじめ関係者の皆様には多大なご迷惑をお掛けいたしましたことを深く受け止め、引き続き外部専門家のアドバイスを受けながら、セキュリティ対策の強化を図ると共に、被害の全容解明に向け取り組んでまいります。

また、当社が提供しておりますネットワークサービス等につきましては、安全性を確認の上、段階的な復旧を進めておりますが、完全な復旧にはまだ少し日数を要する見込みです。状況に進展ございましたらお知らせいたします。

なお、本件が、当社 2024 年３月期連結業績に与える影響については、現在精査中です。今後、開示すべき事項が生じた場合には、速やかにお知らせいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-121】株式会社住宅性能評価センター 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/3/13

弊社が提供しております「現場支援システム※」が令和6年1月11日、外部から不正アクセスを受け、当該システムのデータの一部が窃取されたことが判明いたしました。

漏えいした恐れのある利用者情報にご登録いただいた皆様の個人情報とみなされるデータが含まれていることが判明いたしましたので、お知らせいたします。

皆様には多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

現時点で判明している事実及び弊社の対応について以下の通りご報告いたします。

※現場支援システムは弊社が交付した確認申請の現場検査の検査希望日等を申請するシステムです。

【概要】

令和6年1月11日に「現場支援システム」の動作に不具合が発生したため、調査をした結果、外部からの不正アクセスによって、当該システムのデータサーバーから利用者情報及び建物情報が窃取されておりました。

その後、当該サーバーには、窃取された当該情報を復元する代わりに金銭を要求する文章の保存が確認されたことから個人情報の漏えいの恐れがあることが発覚いたしました。

【漏えいした恐れのある個人情報】

（１）「現場支援システム」において取り扱う利用者情報（氏名、メールアドレス、電話番号）

　　　　　弊社の従業員を含め、総数1,429件

（２）「現場支援システム」において取り扱う建物情報（物件名称、建設地の地名地番）

　　　　　総数214,832件

（１）に関しましては、漏えいした恐れがある情報には所属されている会社名は記載されておりません。

また、二次被害となるような事案は発生しておりません。

（２）に関しましては、漏えいした恐れがある個人情報の項目は「物件名称」及び「建設地の地名地番」であり、（１）と同様に会社名等は記載されておりません。

また、二次被害となるような事案は発生しておりません。なお、これらの情報は特定行政庁にて閲覧可能な公開情報でもあり、仮に本データを第三者が入手した場合であっても、当該情報を悪用される懸念は極めて限定的であると考えております。

【原因】

「現場支援システム」のデータサーバーを管理するシステムが悪意ある外部から不正アクセスを受けたことが原因です。

【弊社の対応】

弊社は、本件発覚直後に「現場支援システム」の稼働を停止しております。同システムは独立したサーバーで運用されており、不正アクセスによる被害が弊社の扱う他のシステムに影響を及ぼすことはございません。

また、弊社の扱う他のシステムに関しても緊急監査を実施いたしましたが、安全性に問題は無いことが確認されております。

「現場支援システム」の再稼働につきましては現在検討中でございますが、当面は弊社申請システム「F-2Web」による検査予約機能のご利用をご検討ください。

弊社は今回の事態を発生させたことを厳粛に受け止め、セキュリティ体制の改善、監視体制強化等、再発防止に全力で取り組んでまいります。

この度は、多大なるご迷惑とご心配をおかけしておりますことを重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-120】北九州市立大学 不正アクセスによる個人情報漏洩のおそれに関するお知らせとお詫び 2024/3/29

 

このたび、本学教員が使用しているパソコンが不正アクセスを受けた事案が発生しました。

本学で調査した結果、パソコンに保存されていた個人情報が漏洩した（ 閲覧された）可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。

１．本件の経緯

2024 年 3 月 11 日 月）18 時 25 分頃、外国語学部中国学科の教員が自宅にて業務用のパソコンを使用中、第三者から不正アクセスを受け、遠隔操作によりパソコン内のファイルを閲覧された可能性のある事案が発生しました。

3 月 12 日 火）朝、当該教員から連絡を受けた本学情報セキュリティ部門において、当該パソコンの電源を切りネットワーク遮断を行う指示を行いました。

その後、本学において当該パソコンを調査した結果、当該パソコン内には本学学生及び当該教員の交友関係者に関する個人情報のファイルが保存されていたことを確認しました。

また、不正アクセスに使用されたソフトウエアを特定し、その機能として、ファイルの持ち出し及びコピーはできず、閲覧のみ可能なことが判明しました。

これまでのところ、個人情報が漏洩した事実は確認されておりません。

２．漏洩の可能性のある個人情報

 １）本学学生に関する個人情報

2020 年度２学期、2021 年度１学期、同年度２学期、2022 年度１学期、同年度２学期の各ファイル内における当該教員が担当していた授業科目を受講した学生の学籍番号、氏名、素点 当該科目のみ） 計 162 人

なお、当該ファイル毎に、十分な長さの異なるパスワードが設定されており、第三者の閲覧による漏洩の可能性は極めて低いと考えています。

 ２）当該教員の交友関係者 本学学生ではない）に関する個人情報

92 名の住所、氏名、電話番号、メールアドレスで、当該ファイルにはパスワードの設定はありませんでした。

３．本事案の対象者への対応

 １）学生について

 在学生につきましては、ご当人に本件の状況説明とお詫びを行うことにしています。

卒業等により連絡が取れない方につきましては、当ホームページをもって本件の状況説明及びお詫びとさせて頂きます。また、ご不明な点等ございましたら、下記連絡先までお問い合わせくださいますようお願いいたします。

 ２）当該教員の交友関係者について

当該教員より事実関係の説明及び謝罪を行う予定です。

４．今後の対応

全教職員を対象とした情報セキュリティに関する研修を改めて実施し、個人情報の取り扱いや不正アクセスへの対応について、周知徹底を継続してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-119】焼津市 深層水脱塩施設の委託契約にかかる個人情報漏えいのおそれについて 2024/3/18

 

焼津市が深層水脱塩施設日常管理運営業務を委託している静岡県水産加工業協同組合連合会において、当該施設の利用者情報等が入ったパソコンから個人情報が漏えいしたおそれがあることが判明しました。

経過

（1）3月14日（木曜日）午後4時

• 委託先の従業員が、事務所にて脱塩水の給水者約15,000人の個人情報を管理していたパソコンを操作中にウイルス感染した旨の表示があった。表示された電話番号に電話し指示通りに対応し、パソコンをシャットダウン。

（2）3月15日（金曜日）

• 午前8時30分頃、当日勤務の別の職員が、当該パソコンの電源を入れたところ、見慣れない画面が表示されたことから異変を確認。
  
  
• 午前10時に市（漁港振興課）に報告。
  
  
• 市は、情報漏えいの恐れがあることを把握し、パソコンを使用しないよう指示するとともに、庁内で報告を行い、委託先職員からの聞き取りを行うとともに、パソコンを回収した。

（3）3月18日（月曜日）

• 焼津市情報セキュリティインシデント対応マニュアルに基づき、市にて回収したパソコンを調査。さらに専門的なログの解析が必要と判明した。
  
  
• また、個人情報の保護に関する法律に基づき個人情報保護委員会に事案の報告をした。

漏えいのおそれがある個人情報

1. 概要：深層水脱塩施設利用登録情報
   
   
2. 件数：約15,000件
   
   
3. 内容：登録番号、登録日、氏名、住所、電話番号

（※）クレジットカード番号、金融機関口座番号などの情報は含まれていない。

今後の対応

専門業者に漏えいログの解析を依頼するとともに、個人情報の流出の恐れがある方に、個人情報の保護に関する法律に基づき通知し、適切に対応してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-118】日本ボディビル・フィットネス連盟 個人情報の漏出に関するお詫びとお知らせ 2024/3/29

益社団法人日本ボディビル・フィットネス連盟（以下、「JBBF」といいます。）が運用する会員管理システム（開発・保守：株式会社インターナショナルスポーツマーケティング 以下、「ISM」といいます。）において、個人情報の漏出が発生いたしました。

関係者の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。

１．経緯

（１）3 月 22 日（金）

13 時に ISM において修正した会員管理システムのアップデート版をリリースしたところ、21 時頃、一部の会員から、請求メールの URL から決済システムを利用しようとすると会員情報の一部が閲覧可能な状態になるとの情報をメールで入手しました。

（２）3 月 23 日（土）

① 8 時には、JBBF において上記の手順を行うと会員情報が閲覧可能であることを確認し、直ちに ISM の担当者へシステムの遮断と調査を要請しました。

② 10 時にシステムが遮断されていることを確認しました。

２．漏出した個人情報

（１）個人情報の項目

 氏名、電話番号、住所

（２）対象となる会員様の件数

 399 件

（３）漏出した個人情報を閲覧できた可能性のある会員

 10名（上記の時間内に請求メールのURLから決済システムに進んだ会員様のみ）

３．原因

ISM の修正したアップデート版におけるシステム設定の不具合が原因であると同社より報告を受けております。

４．対応状況

直ちにシステムを遮断した上、個人情報の閲覧の可能性があった会員 10 名を特定し、個別にご連絡のうえお詫び申し上げ、万一、個人情報を取得されている場合には削除していただくことをお願いし、二次被害の発生を防止しました。また、個人情報が漏出した可能性のある全ての会員様に対しては、事実関係をご説明し、お詫び申し上げました。

５．再発防止のための対応

JBBF では今回の事態を重く受け止め、今後このような事態が発生しないよう、システムの不具合に関するチェック体制の強化を ISM へ強く申し入れるとともに、定期的なシステムのチェックや検証を行わせるなど体制を強化してより厳格かつ適正な個人情報の取り扱いに努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-117】TMT神津株式会社 当社システムへの不正アクセスについて 2024/3/26

 

このたび、当社システムが、２０２４年３月１８日に外部からの不正アクセスを受けたことが判明しました。

現在、専門組織とともに調査し原因特定や被害情報の確認を行っております。

なお、現時点で、本件に関わる外部への情報流出は確認されておりません。

詳細が判明次第、影響のあった関係各位への報告を行ってまいります。

お客様をはじめ、関係者の皆様にご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

本件が当社業務に与える影響は精査中です。

今後、調査を進める中で開示すべき事項が発生すれば、速やかに開示を行います。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-117】TMTマシナリー株式会社 当社システムへの不正アクセス事案について 2024/3/26

この度、弊社システムが2024年3月18日に外部からの不正アクセスを受けたことが判明いたしました。

現在、専門機関と連携し、原因究明および被害状況の確認を進めております。 

なお、現時点では、本件に関連して情報が外部に流出した事実はございません。 

詳細が判明次第、関係各位にご報告させていただきます。 

お客様ならびに関係者の皆様に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。 

現在、本件が当社の事業運営に与える影響を精査しております。 

調査中に判明した開示すべき関連情報につきましては、速やかに開示いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-117】株式会社CFC デザイン システムへの不正アクセスについて 2024/3/28

このたび、弊社の親会社である TMT マシナリーのシステムが、2024 年 3 月 18 日に外部からの不正アクセスを受けた事が判明しました。

弊社は親会社システムの傘下に置かれていることから、その影響を受けております。

現在、専門組織により原因特定や被害情報の確認が行われておりますが、現時点では本件による外部への情報流出は確認されておりません。

お客様をはじめ、関係の皆様にはご心配およびご迷惑をお掛けする事となり、深くお詫び申し上げます。

尚、かかる状況ではありますが、C/Cコンポジット製品の製造は継続しており、お客様とのお取引については影響を最小とするべく対応中です。

今後開示するべき事柄が発生した場合は、速やかに開示を行って参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-116】早稲田スポーツ新聞会 弊会ホームページにおけるウイルス感染に関するお詫びとお知らせ 2024/3/17

 

平素より早稲田スポーツ新聞会をご愛読いただきまして、誠にありがとうございます。

2023年末より、弊会ホームページがコンピューターウイルスに感染していたことが判明いたしました。

このウイルスにより、以下の被害が発生しております。

・ページ上に広告が貼られる

・特定のページにアクセスできない

・意図せずファイルがダウンロードされる

2月29日以降に、弊会ホームページからファイルをダウンロードされた皆様におかれましては、添付ファイルを開かずに削除していただきますようお願いいたします。

読者の皆様、体育各部の関係者の皆様には多大なご迷惑、ご心配をお掛けしたことを心より深くお詫び申し上げます。

また再発防止のため当サイトを閉鎖しリニューアルすることを決定しました。ホームページの改修に伴い、2024年3月18日（月）より一時閉鎖させていただきたく存じます。

新サイトは、2024年4月上旬に公開予定です。

サイト閉鎖中は以下のブログにて、ホームページと同じ形式で記事の配信を行っていく予定です。

https://ameblo.jp/wasedasportsblog/

当会として今回の事態を重く受け止め、再発防止に努めるとともに、今後より一層の情報セキュリティ対策の強化に努めてまいります。何卒、ご理解とご協力を賜りますようお願い申し上げます。

今後も早稲田スポーツ新聞会をよろしくお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-114】Electronic Arts プロ e スポーツ選手のアカウントがハッキングされる 2024/3/20

現地時間17日日曜日に北部アメリカ地域対象に行われたALGS の大会中、Apex Legendsのプロ選手のアカウントがハッキングを受けました。

プレイヤーとゲームのセキュリティが最優先事項であり、当該競技を延期するとともに、ただちに問題調査および分析を開始いたしました。

当社チームにより、Apex Legendsのプレイヤーコミュニティを守りすべての人にとって安全な体験をお届けするための、階層化された一連のアップデートの中の最初のアップデートが展開されました。

皆様にはご不安を抱かせてしまい恐縮でございますが、

ご理解のほど何卒よろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-040】株式会社日刊工業新聞社 求職情報サイトにおける個人情報流出の可能性について調査結果のご報告 2024/4/2

当社が運営する求職情報ウェブサイト「ホワイトメーカーズ」 （URL：https://kyujinnikkan.com/）がサイト改ざん被害を受け、お客さまの個人情報（氏名・メールアドレス・暗号化されたパスワード）が外部流出した可能性を否定できないことにつきまして、2024年2月9日にお知らせ致しました。（以下、既報）

この度、外部専門機関の協力のもと進めてまいりましたフォレンジック調査が完了致しましたので、調査結果および再発防止に向けた取り組みにつきましてご報告申しあげます。

流出した可能性のあるお客さまをはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

１．調査結果概要

既報のとおり、「ホワイトメーカーズ」において利用しているCMS（コンテンツ・マネジメント・システム）のプラグインの脆弱性を悪用され、侵害を受けた可能性があります。その影響に伴い、遠隔操作を可能とする複数の不審なプログラムが設置され、不正に操作されていたと考えられます。

また、圧縮形式のファイルのダウンロードが確認されたことから、情報漏えいが発生していると考えられます。しかし、ダウンロード対象のファイルにおいて、データの詳細は判明しておりません。ただし、データベースへのアクセスが可能であったことを鑑みると、データベースの内容が漏えいしていた可能性は否定できません。

２．再発防止のための措置

（１）実施済みの措置

①パスワードの変更

データベースへのアクセスが可能であったことから、情報漏えいの可能性があると考えられるため、漏えいした情報が悪用される可能性を考慮し、以下の対策を実施致しました。

　・管理者パスワードの変更

　・データベースのパスワード変更

　・該当サーバへのメンテナンス接続（FTP 等）の際に利用するID におけるパスワード変更

　・レンタルサーバの管理コンソールへのログインパスワードの変更

②ソフトウェア、プラグインのバージョンアップ

脆弱性の対策を行うため、ソフトウェアやプラグインのバージョンアップを実施致しました。

③WAF（Web Application Firewall）の設定強化

Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するため、WAFの設定を強化しました。

（２）今後実施予定の措置

①脆弱性診断の定期的な実施

脆弱性対策を行うため、第三者による脆弱性診断を実施するプロセスを確立し、定着した運用として遂行してまいります。

②ソフトウェアの定期的なバージョンアップ運用の実施

脆弱性対策を行うため、ソフトウェアやプラグイン等を含めたバージョンアップを実施するプロセスを確立し、定着した運用として遂行してまいります。

③セキュリティ対策製品の導入

侵入検知システムなどのセキュリティ対策製品の導入を進めてまいります。また、必要に応じてセキュリティ監視等も行い、早期対処を可能とする体制構築を検討してまいります。

④ログ取得対象の見直しと外部保管

現状、当該サイトではアクセスログのみを保管しておりましたが、アプリケーションログ等、他のログも取得してまいります。併せて、サーバ内に保管するだけでなく、長期間の保管を想定し、外部保管も検討致します。

⑤改ざん検知システムの導入

改ざん被害を早期に検出するために、改ざん検知システムの導入を検討致します。

３．流出した可能性のある個人情報および対象人数（既報）

　・個人情報：氏名、メールアドレス、暗号化済みパスワード

　・対象人数：250人

４．お客さまへのお願い（既報）

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意くださいますようお願い申し上げます。

リリース文（アーカイブ）

【2024/2/9リリース文】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-113】近畿大学 個人情報の流出について 2024/3/19

このたび、Googleフォームの設定ミスによる個人情報の流出が判明いたしました。

該当する方々、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

なお、本日までに、この個人情報の流出による被害の報告はありません。

１．事案の内容

令和6年（2024年）1月31日（水）から、 入学式パフォーマンスユニットKINDAI WELCOMES新入生メンバー募集の応募フォームを、近畿大学公式SNSおよび大学受験ポータルサイト「UCARO」で公開しました。2月28日（水）に、応募者から、応募済みの他者の回答内容が閲覧できる状況であるとメールで指摘を受け、確認したところ、Googleフォームの結果の概要を表示する設定をオンになった状態で公開する設定ミスにより、指摘のとおり個人情報が流出していたことが判明しました。

２．流出した情報

KINDAI WELCOMES新入生メンバーに応募した12人の氏名、入学予定の学部・学科、電話番号、メールアドレス、応募内容

３．対応

① 当該応募フォームにて回答内容を閲覧できないようすみやかに設定を変更しました。

② 対象者12人に状況を説明したうえでお詫びし、他者の個人情報を取得していた場合は削除するようお願いしました。

４．再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

① Googleフォームを利用する場合は、設定について複数人でチェックを行い、登録テストを実施してから公開するように徹底する。

② 教職員の情報セキュリティ研修の受講を徹底する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-042】株式会社日水コン 個人情報の一部流出の恐れに関するお詫びとお知らせ 2024/4/2

 

株式会社日水コンは、当社のコーポレートサイト（以下「当社サイト」という。）への不正アクセスにより個人情報の一部が流出した恐れがあることを確認いたしました。このたび、外部専門機関の協力の下で進めてまいりました本件に関する調査が完了いたしましたので、概要等についてお知らせいたします。

なお、現時点では本件にかかわる個人情報の不正利用は確認されておりません。

お客さま及び関係者の皆さまには、多大なるご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1．経緯

（1）2024年1月28日

当社サイトへの不正アクセスが発覚したため、同日、当社サイトを閉鎖し、外部専門機関へ報告・相談いたしました。その後、社内に災害対策本部を設置し、警察及び関係機関への報告、外部専門機関への調査等を依頼いたしました。

（2）2024年2月8日、2月22日

本件に関するお知らせを当社サイトに掲載いたしました。

（3）2024年3月14日

調査の結果、当社サイトのお問合せフォームに入力された個人情報が保管されていることを確認いたしました。なお、現時点までに個人情報の流出等は確認されておらず、二次被害の報告も受けておりません。

以後、外部専門機関からのアドバイスを受けて再発防止策等を実施しております。

2．外部流出した恐れのある個人情報

当社サイトのお問合せフォームに記入いただいた個人情報について、外部に流出した恐れがあります。

（1）項目

①氏名　②部署名　③会社名　④電話番号　⑤メールアドレス　⑥お問合せ内容

（2）対象となるお客さま

2016年10月から2024年1月までの期間に当社サイトのお問合せフォームに記入いただいたお客さま

3．原因

攻撃者は、動作検証用のテスト環境へのアクセス試行によりログインアカウントとパスワードを窃取し、公開用の本番環境へのアクセスを行ったものと考えられます。この不正アクセスによって、当社サイトから大量のメール送信やWebページの改ざんが行われたことを確認いたしました。

4．今後の対応

当社は、不正アクセスを受けたことを重く受け止め、セキュリティ体制を強化し、再発防止に向けて総力を挙げて取り組んでまいります。

本件につきましては、該当するお客さまをはじめ、関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

何卒ご理解とご協力を賜りますようお願いいたします。

リリース文（アーカイブ）

【2024年2月8日リリース】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-112】株式会社アテックス 不正アクセスによるお客様個人情報流出に関するご報告とお詫び 2024/3/25

弊社が運営していましたインスタグラムアカウント「atex.jp」（以下「当該アカウント」といいます。）が、本年1 月 11 日に外部からの着信メールによりフィッシング詐欺の被害に遭い、第三者より不正アクセスを受け、当該アカウントが乗っ取られた事案につきまして、弊社ホームページにてご報告いたしました。

その後の対応等につきまして、この度ご報告いたします。

【調査の結果について】

今回の事案発生後の詳しい調査の結果、当該アカウントのダイレクトメール機能を用いて頂戴しました261件のお客様個人情報 ( お名前、ご住所、お電話番号 ) が第三者に不正に閲覧されるおそれがあることが判明いたしました。なお、該当されるお客様には個別に郵送等によりお詫びとご報告を通知させていただいております。

【当該アカウントについて】

弊社では、事案発生当初より所轄警察署への相談とともに、インスタグラムの事業会社Meta Platforms, Incの日本法人に対策の要請を行いながら、当該アカウントを取り戻すことを試みてまいりましたが、残念ながら現在に至るまで取り戻すことができておらず、復旧は極めて困難な状況です。

引続き当該アカウントにおいて弊社から情報を発信することは一切ございませんのでご注意ください。 万が一、弊社を名乗った連絡や外部サイトへの誘導を促すURLや画面のリンクを受信された場合には、開かずにそのまま速やかに破棄いただけますようお願いいたします。

なお弊社公式アカウントにつきましては、上記の状況をふまえ、弊社が従来運営しておりました「Lourdes【ルルド公式】」アカウントを改称し、以下のアカウントとして再開させていただいておりますのでご案内いたします。

@atex_jp　ATEX【アテックス公式】

https://www.instagram.com/atex_jp/

皆様には新しいアカウントを安心してご利用いただけますよう再発防止に努めて参ります。

【被害の状況について】

この度の情報流出により弊社に届いたものと同類の「不審なダイレクトメールの通知が届いている」とのご報告を頂戴しており、ご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

なお、財産上の被害等の二次被害の発生は確認されておりません。

【再発防止策について】

弊社は、本件の対策としましてセキュリティ管理の強化に一層努め、以下の措置を講じ、再発防止を徹底してまいります。

（1）すべての公式SNSアカウントの運用ルールの見直しを行い、ダイレクトメール上でのお客様個人情報の取得を禁止し、より安全な方法での取得と保管を徹底。

（2）すべての公式SNSアカウント管理の強化と徹底。

（3）全従業員に対する教育の徹底。

この度の事案によりお客様には、ご迷惑とご心配をおかけし誠に申し訳ございません。重ねて心よりお詫びを申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-208】個人情報保護委員会 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について 2024/3/25

個人情報保護委員会（以下「当委員会」という。）は、令和６年３月25日、株式会社エムケイシステム（以下「エムケイ社」という。）における個人情報等の取扱いについて、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）第 147 条の規定による指導等を行った。

１．事案の概要

エムケイ社は、社会保険/人事労務業務支援システム（以下「本件システム」という。）を、社会保険労務士（以下「社労士」という。）の事務所等のユーザ（以下「ユーザ」という。）に対し、SaaS 環境においてサービス提供していたところ、令和５年６月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。

本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものである。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等（以下「クライアント」という。）の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等である。

エムケイ社の報告によれば、現時点において、個人データの悪用などの二次被害は確認されていない。

２．事案の規模

(1) エムケイ社からの情報による本件システムの利用実績

社労士事務所：2,754 事業所、管理事業所：約 57 万事業所 (令和５年４月１日時点)本件システムで管理する本人数：最大約 2,242 万人 (令和５年６月 5 日時点)

(2) 当委員会が受領した漏えい等報告件数

令和５年６月６日から現在までに受領した漏えい等報告件数は、報告者ベースで3,067 件（本人数計 7,496,080 人）である。大部分は社労士事務所からの提出であり、顧問先事業者との連名報告の形での報告が多かった。内訳は、社労士事務所等が 2,459件（本人数計 6,724,609 人）、顧問先事業者が 404 件（本人数計 392,125 人）、企業等が204 件（本人数計 379,346 人）である。 

３．エムケイ社が本件において個人データを取り扱っていたこと

(1) ガイドラインＱ＆Ａ7-53 について

「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（以下「ガイドラインＱ＆Ａ」という。）7-53 には、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」と記載されている。

(2) エムケイ社とユーザとの間の利用規約

本件システムの利用に当たり、エムケイ社は、ユーザに利用規約（以下「本件利用規

約」という。）の同意を求めていた。

(3) エムケイ社における実際の個人データの取扱いの状況

• エムケイ社は、ユーザから本件システムの利用に関する調査・支援要請があった場合、両者の間で「個人情報授受確認書」（以下「授受確認書」という。）を取り交わした後、個人データを取り扱っていた。なお、令和５年上半期における、授受確認書によるエムケイ社の個人データ取扱い実績は、合計 20 件であった。
  
  
• 授受確認書には、「個人情報保護法を遵守し、下記目的達成の為に個人情報を授受します。」「媒体 お客様の委託データ」「授受の形態 保守用 ID によるデータ調査」などの記載がある。
  
  
• エムケイ社は、保守用 ID を有しており、これを用いて、本件システム上の個人データにアクセスすることが可能であった。

(4) 検討

ア 利用規約

本件利用規約においては、エムケイ社がサービスに関して保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。

イ アクセス制御

エムケイ社は、保守用 ID を有しており、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった。

ウ エムケイ社がユーザに提供するサービスの性質

ソフトウェアをインターネット経由で利用できるタイプのクラウドサービスにおいては、様々なアプリケーションやソフトウェアの提供があり得るところ、本件システムは、ユーザである社労士事務所や企業等が社会保険及び雇用保険の申請手続や給与計算等をオールインワンで行うことができるというものである。すなわち、本件においてエムケイ社がクラウドサービス上で提供するアプリケーションは、ユーザである社労士事務所や企業等が、個人の氏名、生年月日、性別、住所及び電話番号などの個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた。

エ エムケイ社による個人データの取扱いの状況

本件では、エムケイ社が、ユーザと授受確認書を取り交わした上で、実際にユーザの個人データを取り扱っていた実績がある。

オ 小括

以上の事実関係を考慮すると、本件において、クラウドサービス提供事業者であるエムケイ社がガイドラインＱ＆Ａ7-53 の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められる。したがって、本件において、エムケイ社は、個人情報取扱事業者としてユーザから個人データの取扱いの委託を受けて個人データを取り扱っていたといえる。

(5) 補足

ガイドラインＱ＆Ａ7-55 では、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当」しないこととされている。ここでは、例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得（閲覧するにとどまらず、これを記録・印刷等すること等をいう。）を防止するための措置が講じられている場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要である。

本件において、エムケイ社が有する保守用 ID については、個人データの取得を防止するための技術的な措置は講じられていないことから、個人データの提供に該当し、委託に基づき個人データを取り扱っているものと認められる。

４．法律上の問題点

(1) エムケイ社について－安全管理措置（法第 23 条）の不備

法第 23 条において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定している。個人情報の保護に関する法律についてのガイドライン（通則編）（以下「ガイドライン」という。）「10（別添）講ずべき安全管理措置の内容」において、個人情報取扱事業者は、技術的安全管理措置として、「個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。」（10-6(2)アクセス者の識別と認証）とされ、また、「個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。」（10-6(3)外部からの不正アクセス等の防止）とされている。

しかしながら、エムケイ社においては、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった。また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった。

したがって、エムケイ社においては、技術的安全管理措置に不備が認められる。

(2) ユーザ（エムケイ社の委託元）について

本件では、エムケイ社の技術的安全管理措置の不備が原因となり、ランサムウェアの侵入を許し、個人データの漏えい等のおそれが生じた。したがって、本件漏えい等事態は、クラウドサービス事業者であるエムケイ社側の責任の範囲において生じた事態であり、ユーザには、法第 23 条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない。

他方、法第 25 条において、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定している。法第 25 条に関するガイドライン 3-4-4 では、委託元である個人情報取扱事業者は、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、適切な委託先の選定、委託契約の締結及び委託先における個人データ取扱状況の把握について、必要かつ適切な措置を講じなければならないことが規定されている。

本件漏えい等事態発覚当時のエムケイ社のウェブサイトにおいては、本件サービスに関し、万全のデータセンターとセキュリティ管理をしている旨が記載され、また、漏えい対策についても万全の体制である等と記載されていた。本件において、ユーザの多くは、エムケイ社に対する個人データの取扱いの委託を行っていたとの認識が薄く、委託先の監督が結果的に不十分となっていた可能性がある。

(3) クライアント（ユーザの委託元）について

本件システムのユーザである社労士事務所に対して個人データの取扱いを委託していたクライアントも、個人情報取扱事業者として従業者の個人データを取り扱っていたところ、自らも法第 23 条が求める安全管理措置を講ずる義務を負うとともに、委託先である社労士事務所に対し、法第 25 条が求める委託先の監督義務を負う。

しかしながら、本件において、クライアントの多くは、社労士事務所に対して個人データの取扱いの委託及びエムケイ社に対する再委託を行っていたとの認識が薄く、委託先等への監督が結果的に不十分となっていた可能性がある。

(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律（平成 25

年法律第 27 号。以下「番号法」という。）上の問題点について本件システムにおいてはマイナンバーも取り扱われていたが、電子申請時等にマイナンバーを入力しても、原則的にマイナンバーは保管されない仕組みであった。また、ユーザが、オプションサービスを利用する場合にマイナンバーが管理されることがあったが、その場合は、高度な暗号化による秘匿化がされた状態で保管されていたものと認められた。

したがって、エムケイ社に対し、番号法の規定による指導は行わないこととする。

５．当委員会の対応

(1) エムケイ社

エムケイ社は、本件を機にデータセンターにおける本件システムの提供を停止し、よりセキュリティが強化されている環境で本件システムを再構築し、サービスを再開した。しかしながら、本件システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及びエムケイ社の安全管理措置の不備が認められたことに鑑み、以下の対応を行う。

ア 法第 147 条の規定による指導

• 法第 23 条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
• 再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。

イ 法第 146 条第１項の規定による報告徴収

• 法第 146 条第１項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和６年４月 26 日までに報告するよう求める。

(2) ユーザ及びクライアントについて

本件において、ユーザは、クライアントの従業員等の多数の個人データを取り扱っているところ、前述のとおり、ユーザ及びクライアントにおいて本件が個人データの取扱いの委託又は再委託を行っているとの認識が薄く、委託先等の監督が結果的に不十分となっていた可能性がある。

ユーザ及びクライアントの安全管理措置並びにエムケイ社に対する監督の実施状況は、個々のユーザ及びクライアントによって異なり得るため、実際にエムケイ社による個人データの取扱いがあったユーザ及びクライアントを中心に今後も継続して調査し、権限行使を含めた必要な対応を検討する。

(3) 注意喚起

今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、①クラウドサービスの利用が、法第 27 条第５項第１号に規定される「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する場合があること及び②①に該当する場合には、委託元は委託先に対する監督義務があることについて、注意喚起を実施することとする。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-111】筑前町 職員の処分について 2024/3/21

 

役場の庁内ネットワークに長期間、不適正にアクセスを行い、人事異動情報等を不正に閲覧取得、また漏洩するなどしていた筑前町職員2人に、令和6年3月18日付けで、それぞれに懲戒処分したのでお知らせします。

懲戒処分者

50歳代　男性　課長職

処分内容

減給4ヶ月　給料月額の10分の1

懲戒処分者

40歳代　男性　係長職

処分内容

減給3ヶ月　給料月額の10分の1

今後、このようなことを二度と起こさぬように、再発防止策を講じるとともに法令遵守、綱紀粛正に努め、信頼回復に全職員一丸となって取り組んでまいります。心からお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-110】愛媛県警の警部補が県警のサーバーに不正にアクセスして書類送検される

県警のサーバーに不正にアクセスし職員のデータを閲覧した疑いで、男性警部補が書類送検されました。

不正アクセス禁止法違反の疑いで書類送検されたのは、県警本部所属の男性警部補です。

県警監察室によりますと男性警部補は２０２３年１１月までの８カ月間、警察の公用パソコンから県警のサーバーに複数回に渡って不正にアクセスし、職員に関するデータを閲覧などした疑いがもたれています。

この不祥事は、別の職員が権限のない職員がデータを閲覧していることに気付き発覚しました。

男性警部補は以前にサーバーのアクセス権限を持っていて、パスワードを例年の変更の仕方から推測して入力。不正にアクセスしていたということです。

動機については「法にふれることは分かっていた。興味本位で情報を知りたかった」と話しているということです。

県警はこの不祥事を受けアクセスに必要なパスワードを変更。男性警部補を２０日に

書類送検するとともに訓戒処分にしました。

出典①：「興味本位だった」県警警部補が不正アクセス…書類送検　職員データを閲覧【愛媛】　

出典②：愛媛県警の警部補が県警サーバーに不正アクセス、書類送検

【セキュリティ事件簿#2024-109】岐阜県 本県職員の処分について 2024/3/22

 

県は、本県職員の処分を、令和６年３月２２日付けで下記のとおり行いました。

窃盗及び不正アクセス行為等事案

 （１） 被 処 分 者

現所属：可茂土木事務所 

職名：主任技師 

氏名： 平林 悠

年齢・性別： ２９歳・男性

処分の内容：懲戒免職

根 拠 

地方公務員法第２９条第１項第１号、第２号及び第３号

処 分 事 由

平成３０年７月２３日から令和５年７月頃までの間において、県有物品及び他の職員の私有物を少なくとも４１件窃取した。

令和４年８月頃、他の職員が管理する公文書１件を無断で持ち出し、執務室外の空き机に隠匿した。

令和４年１１月７日から令和５年１０月７日までの間において、他の職員２名及び過去に勤務した１所属の業務用内部ネットワークのユーザパスワードを用いて、計３１回にわたり不正にアクセスし、不正アクセス先の職員が管理していた電子ファイルを、自らが使用する職員用パソコンに複製し、さらに、その一部を自宅のパソコンに複製した。

（２）管理監督職員

上記事案に関し、当該職員を管理監督する立場にあった者に対して、管理監督責任に基づく措置を行った。

リリース文（アーカイブ）