【セキュリティ事件簿#2024-217】徳島県 印刷業務委託先のランサムウェア被害について 2024/6/6

 

本県が納税通知書等作成業務を委託している事業者から、自社の一部サーバーやパソコンにランサムウェア被害が発生したため調査を行った。

個人情報を含むデータは、ランサムウェア被害が発生したネットワークに保存していないため、漏洩の被害は確認されていないと報告を受けておりました。

しかし、調査を進めたところ、同ネットワークに徳島県の個人情報を含む画像データを保存していたことが確認されたと報告がありました。

現在は、外部専門家の協力のもと調査を進めているとのことで、個人情報を含むデータ流出の有無を含め、状況を確認中です。

1．個人情報が流出した可能性がある画像データ

令和5年度自動車税種別割納税通知書96件（88名）

（データ項目:住所、氏名、自動車登録番号、自動車車台番号、年税額）

2．業務委託先

株式会社イセトー（本社:京都市中京区烏丸通御池上ル二条殿町552）

URL:https://www.iseto.co.jp/

3．経緯

・令和6年5月28日(火) 委託先から報告

5月26日（日）にランサムウェア被害を受けたが、ネットワーク分離により被害は確認されていない。

・令和6年6月6日(木) 委託先から報告

個人情報を含むデータ流出の恐れがある。

4．現時点での本県の対応

本県に関連した情報の流出の有無の確認、原因究明及び適切な対策を求めております。

本件に関して詳細が判明しましたら、改めてお知らせいたします。

リリース文（アーカイブ）

祝！フィジー・エアウェイズがワンワールドの正式メンバーに！！

ワンワールド・アライアンスは、フィジー・エアウェイズが 15 社目の正会員航空会社となることを発表しました。

フィジーと南太平洋のフラッグ・キャリアであるフィジー・エアウェイズは、過去 5 年間にわたりワンワールド・アライアンスのコネクト・パートナーとして高い評価を得てきました。この間、フィジー・エアウェイズはすべてのワンワールド・アライアンス加盟航空会社と強固な関係を築き、正会員へのスムーズな移行を実現してきました。移行プロセスは直ちに開始され、今後12ヶ月以内に完了する予定です。

ワンワールド・アライアンスの Nat Pieper CEO は次のように述べています： 「フィジー・エアウェイズをワンワールド・アライアンスの15番目の正会員航空会社として歓迎します。フィジー・エアウェイズは、5年前にワンワールド・アライアンスのコネクト・パートナーとして加盟して以来、非常に良好な関係を築いており、すでにワンワールド・アライアンスの一員です。フィジー・エアウェイズは驚異的な成長を遂げ、受賞歴のある製品とサービスを提供し、ワンワールド・アライアンス全加盟航空会社との乗り継ぎを加速させることで、国際的なグローバル・トラベラーにとって最高の航空アライアンスとしての地位を強化することでしょう。」

フィジー・エアウェイズのマネージング・ディレクター兼 CEO、Andre Viljoen は次のように述べています。「受賞歴のあるワンワールド・アライアンスへの正式加盟を発表できることを大変誇りに思います。正会員航空会社として、ワンワールド・アライアンスのフリークエント・フライヤーの皆様のご旅行体験を向上させ、フィジーおよび南太平洋へのアクセスをより便利にし、フィジー・エアウェイズのお客様にはアライアンス・ネットワーク全体でシームレスな乗り継ぎと思い出に残る旅をお約束できることを大変嬉しく思います。」

ナンディ国際空港をハブ空港とするフィジー・エアウェイズは、シドニー、香港、ロサンゼルス、東京のワンワールド・アライアンスのハブ空港を含む、世界 15 の国と地域の 26 都市に就航しています。フィジー・リンクは、フィジー・エアウェイズの完全子会社であり、ワンワールド・アライアンスの加盟航空会社となることで、スバ、ナンディ、ラバサ、タベウニ、カダブへの国内線や、トンガ、サモア、ツバル、バヌアツの太平洋島しょ国への地域便により、ワンワールド・アライアンスのネットワークをさらに拡大します。フィジー・エアウェイズは最近、2023年の年間利益と収益が過去最高を記録し、220万人の旅客を運び、280万席の座席を提供したと発表しました。フィジー・エアウェイズは、前例のない成長、キャパシティーの拡大、最新鋭のエアバス A350 型機による機材増強により、ワンワールド・アライアンスの正会員航空会社として拡大を続け、増大するお客様の需要にお応えするため、さらに多くのフライトと新路線を提供できる体制を整えています。

ワンワールド・アライアンスの正会員航空会社として、フィジー・エアウェイズはワンワールド・アライアンスのエメラルド、サファイア、ルビーのお客様に、マイルの獲得と交換、ステータスポイントの獲得、優先チェックインと優先搭乗、ラウンジのご利用など、ワンワールド・アライアンスの総合的な特典を提供いたします。同様に、フィジー・エアウェイズの最上級会員のお客様は、世界各地に約 700 ヶ所あるビジネスクラスおよびファーストクラスのラウンジネットワークや、アムステルダムのスキポール空港とソウルの仁川空港に新たにオープンしたワンワールド・アライアンス・ブランドのラウンジなど、ワンワールド・アライアンスのすべての優先特典をご利用いただけます。

1951年9月1日に運航を開始したフィジー・エアウェイズは現在、エアバスA350、エアバスA330、ボーイング737を含む21機の航空機を保有しています。2023年度スカイトラックス・アワードにおいて、フィジー・エアウェイズはベスト・エアライン、ベスト・エアライン・スタッフ、ベスト・エアライン・サービス（オーストラリア＆太平洋地域）部門を受賞し、グローバル・トップ100エアライン・ランキングで15位、グローバル・トップ20客室乗務員ランキングで12位、グローバル・トップ・クリーネスト・エアライン・ランキングで16位にランクインしました。

【The World's Top 100 Airlines in 2023　※ワンワールドメンバーのみ】

2位：Qatar Airways

5位：Japan Airlines

8位：Cathay Pacific Airways

14位：Iberia

15位：Fiji Airways

17位：Qantas Airways

18位：British Airways

24位：Finnair

47位：Malaysia Airlines

52位：Alaska Airlines

53位：Royal Air Maroc

82位：American Airlines

ランク外：Royal Jordanian

ランク外：SriLankan Airlines

2024年は、1999年にアメリカン航空、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、カンタス航空によって設立されたワンワールド・アライアンスの25周年にあたります。今年末、オマーン航空は、アラスカ航空、アメリカン航空、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、フィンランド航空、イベリア航空、日本航空、マレーシア航空、カンタス航空、カタール航空、ロイヤル・エア・モロッコ、ロイヤル・ヨルダン航空、スリランカ航空に続く14番目の加盟航空会社となります。

出典：FIJI JOINS ONEWORLD

【セキュリティ事件簿#2024-235】日経BP メール不正アクセスによる個人情報の漏えいについて 2024/6/7

 

２０２４年６月４日に、当社従業員のメールアカウントへの不正アクセスがあり、メール送受信先の一部の個人情報が漏えいしたことが判明いたしました。不正に参照された恐れがあるメールは１０８件、これに伴い流出した恐れのある社外の方々の個人情報（個人名、メールアドレス、住所、電話番号を含む）は３３件です。不正アクセスの発覚から速やかに当該アカウントへの接続を遮断し必要な対策を講じました。

当社としてはこの事態を重く受け止め、直ちに調査を開始し、個人情報保護委員会に報告しました。個人情報漏えいが疑われるメールアドレス先の皆様には個別にメールにてご連絡させていただいているところです。

お取引先など当社に関係する皆様にご迷惑とご心配をおかけしたことを深くお詫び申し上げます。引き続き、個人情報の安全を守るために最善を尽くして参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】茅ケ崎市 委託業者におけるコンピューターウイルス感染について 2024/6/7

 

投票所入場整理券の作成を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウイルスに感染し、個人情報流出のおそれがある事案が発生したと報告がありました。

流出のおそれのあるデータ

令和５年４月執行の統一地方選挙における投票所入場整理券の宛名データ（住所・氏名） ４７件（現在調査中のため正確な数字は不明）

 ※現時点で、第三者への流出は確認されておりません。

経過

５月２６日 

株式会社イセトーが身代金要求型ウイルス・ランサムウェアの被害を受けました。

６月 ６日 

株式会社イセトーの社内調査の結果、個人情報を含むデータが流出したおそれがあることが分かり、選挙管理委員会事務局に報告がありました。

今後の対応

株式会社イセトーに対し、流出の有無の確認をするとともに、速やかな社内調査の実施、報告と適切な対策を求めています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】藤沢市 業務の委託実績がある事業者のコンピューターウイルス感染について 2024/6/7

 

本市において選挙時の投票所入場整理券作成発送業務の委託実績がある株式会社イセトーのファイルサーバー等が、第三者からのサイバー攻撃によりコンピューターウイルスに感染し、ファイルサーバー等内の情報が流出した可能性があると、２０２４年（令和６年）６月６日に同社横浜支店から報告がありましたので、お知らせいたします。

本市の対応といたしましては、株式会社イセトーに対し、実態の把握、原因の究明及び適切な対応策を求めております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-234】株式会社スーパープリント SuperPrintにご注文くださっているお客様へ 2024/5/18

 

以下の経緯と現状により、受注分の印刷完了と、印刷事業の継続が困難となりました。

多大なるご迷惑をおかけしていること、深く深くお詫び申し上げます。

すでにご入金いただいているお客様には、ご返金をさせていただきますので、

「ご注文日またはご入金日またはご注文番号」「振込済み金額」「ご返金先口座情報」を

superprint.japan@gmail.com　までメールお願いいたします。

15年間にわたりご愛顧いただき、誠にありがとうございました。

＜経緯＞

2月に発生しました印刷機材の大規模故障を発端とし、その後のバックオーダー増大により、韓国工場側とのコミュニケーションが機能不全に陥り、日本本社と韓国支社の間に互いの不信感と対立が生じてしまいました。

3月～4月は、名刺印刷の最多繁忙期となることも重なり、機材/システム/人的リソースのすべてがパンクし、4月末にはすべての受注を一時停止することとしました。

その後、突如、すべてのシステムから、日本本社側が閉め出されてしまいました。

（当社の生産システムやサーバーは物理的に、韓国支社で管轄しておりました）

superprint.jp　のウェブサイト、管理システム、メールへのアクセスができなくなり、本日、ドメイン権限だけ取り返すことができたため、臨時にサーバーを立てて、この画面を表示させております。

現在も、お客様情報やご注文情報から閉め出されており、直近一部の情報やメールのみ、確認ができた状態です。

生産システムと管理システムとメールを失い、長年のお客様からの信頼も失ってしまいました。

韓国支社との対話もできず、解決の見込みがないため、無念ではございますが事業継続を断念し、既入金分のご返金処理を5月中に完了させ、SuperPrintを閉鎖いたします。

3月から復旧を信じてお待ちいただいたお客様には、このような形となってしまい、全身全霊でお詫び申し上げます。

15年間のすべてのお客様に、全身全霊でお詫び申し上げるとともに、長年のご愛顧にあらためて、深く深く感謝申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-230】明治薬科大学 本学 M365 アカウントへの第三者による不正アクセス及びフィッシングメール送信について 2024/6/4

 

2024年5月28日、本学教員の Microsoft365(M365) アカウントが第三者による不正アクセスを受け、学内利用者及び一部取引先に対してフィッシングメールを送信する事案が発生しました。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。

現在の状況と今後の対応につきまして、次のとおりご報告いたします。

1.経緯

5 月某日に本学Ａ教員がフィッシングサイトでメールアドレスとパスワードを入力したことにより第三者に窃取され、5 月 25 日に海外からＭ365 へ最初のログインが行われました。第三者による次のログインは、事案が発生した 5 月 28 日午前 0 時頃で、A 教員を騙ったフィッシングメールが 5,675 件送信されました。同日早朝にフィッシングメールに気づいた本学利用者が状況をＡ教員に連絡し、A 教員が即時にパスワードを変更したことで不正アクセスは出来なくなりました。

また、同日午後には海外から本学 M365 利用者名によるログインを遮断しました。

しかしながら、A 教員を騙るメールであったため、約 30 名の学生がメールを信用し自身のメールアドレスとパスワードを入力してしまうというフィッシング被害に遭いました。

本学では被害の拡大を防止すべく、A 教員を騙ったフィッシングメールへの注意喚起を行うと同時に被害に遭った利用者に対しては本学システムのパスワードの変更及び学外サービスのパスワードの使い回しに対する注意喚起を行いました。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

2.被害状況

A 教員の Outlook 以外への操作ログは見つからず、実害は確認されていません。

送信されたメールアドレスの内訳は次の通りです。

本学学生：1,132 件、本学卒業生：1,173 件、本学教職員等：718 件、その他：165 件

3.再発防止策

学外からの M365 のアクセスにおいては多要素認証の導入を前学期中（8 月末まで）に実施することを計画し、また、日頃からフィッシングメールへの注意力を高めるため、標的型メール攻撃訓練も実施する計画を立てております。さらに、スマートフォン用のセキュリティソフトの全学導入を検討しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-229】株式会社ワークポート 当社が運営する「転職支援サイト」 への不正アクセスに関するお知らせとお詫び 2024/6/4

 日頃、ご愛顧賜りまして誠にありがとうございます。

この度、当社が運営する「転職支援サイト」（以下「本サービス」といいます。）におきまして、第三者による不正アクセスを受けました（以下「本件」といいます。）。

お客様をはじめご関係者の皆様には深くお詫びを申し上げますとともに、今般、本件の概要等につきまして、下記のとおりご報告いたします。

なお、当社は本件の発覚を受け、直ちに、不正アクセスにより本サービスに係る当社サーバ（以下「本件サーバ」といいます。）に設置されていた不正ファイルの削除、本サービス運営のための新環境の構築・新環境への移行などの対応を実施しており、現時点では本サービスの運営への影響はありませんことを併せてご報告いたします。

１.本件の概要等

2024年4月23日、当社のお客様の情報が海外のサイトに掲載されている可能性があるとの情報を把握し、調査したところ、同サイトの掲載内容に当社のお客様情報の一部と一致する情報が含まれていたことから、情報漏えい又はそのおそれがあることが判明いたしました。当社は、同日中に本件について外部委託業者に調査を依頼し、当該調査の結果、第三者が本件サーバに不正アクセスして不正ファイルを設置したうえ、本件サーバから情報を盗んだ可能性があることが判明しました。

当社は、冒頭において述べましたように、直ちに本件サーバに設置されていた不正ファイルの削除、本サービス運営のための新環境の構築・新環境への移行などの被害拡大防止策を講じておりますが、お客様への影響に鑑み、この度、ホームページでお知らせすることとしました。なお、本件による個人データの漏えい又はそのおそれがあるお客様には、本日より、お詫びとお知らせを個別に順次ご連絡申し上げます。

また、当社は、本件につきまして、警察及び個人情報保護委員会に報告しております。警察の今後の捜査等にも全面的に協力してまいります。

２.漏えいが発生した可能性がある個人データ等の項目

2019年1月1日から2024年4月19日までの間において、本サービスにおいて会員登録された一部のお客様 の氏名、生年月日、電話番号、メールアドレス、パスワードのハッシュ値（パスワード自体はその対象ではございません）、その他の会員登録時にご入力いただいた情報項目（在住都道府県コード、希望勤務地コード、希望職種名）

３.本件の原因

新たな攻撃につながる可能性があるため、詳細は差し控えさせていただきますが、攻撃者は本件サーバの脆弱性を利用し、不正アクセスしたものと考えられます。

４.二次被害又はそのおそれの有無及びその内容

現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません 。

もっとも、不審な電話やメッセージ、電子メールにはご注意くださいますようお願い申し上げます。巧妙な詐欺やフィッシングの可能性も否定できないため、十分にご注意くださいますようお願い申し上げます。また、２.において前述したとおり、パスワード自体は本件において漏えいが発生した可能性のある項目ではございませんが、念のため、ご登録いただいた本サイトのパスワードの変更をご推奨申し上げます。ご登録いただいた本サイトのパスワードは以下のURL からご変更いただけます。

▷「eコンシェル」 をご利用のお客様

URL：https://econ.workport.co.jp/new/cn_index.php

▷「マイページ」 をご利用のお客様

URL：https://www.workport.co.jp/member/login.html

また、他社のサービスやサイト等において、当社サイトでご登録いただいた情報項目と共通のパスワードを使用しておられる場合は、該当するパスワードをご変更くださいますようお願い申し上げます。

５.再発防止策

当社では、従前よりサーバ・コンピュータへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を厳粛に受け止め、外部の専門家と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図ってまいる所存でございます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-228】ビルコム株式会社 不正アクセスによる被害の原因および再発防止策について 2024/6/3

 

2024年5月31日に公表したとおり、このたび、当社が利用するクラウドストレージの一部で不正アクセスによる被害が発生いたしました。

当社は、対策本部を立ち上げ、被害の全容解明、原因究明および再発防止に総力を上げて取り組んでまいりました。調査の結果、判明した不正アクセスの原因及び再発防止策について下記の通りご報告いたします。なお、現時点で二次被害等は確認されておりません。

お客様ならびに関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、改めて心より深くお詫び申し上げるとともに、今回の事態を重く受け止め再発防止に努めてまいります。

■不正アクセスの原因について

当社および外部委託の開発会社とともに、不正アクセスの原因について調査を進めてまいりました。

その結果、悪意のある第三者が、当社が利用するクラウドストレージ（外部サービス）のアクセスキーを窃取し、静的データ（PDFや画像、テキスト、ログ等）を削除していることが判明いたしました。

なお、該当データ以外のデータやプログラムは削除されておりませんでした。

■再発防止策について

当社ではこれまで、外部からの攻撃を検知・防御するWebアプリケーションファイアウォール（WAF）の設置や、定期的な脆弱性診断（プログラムのリスク診断）などを通じてセキュリティ対策を実施してまいりましたが、今回の不正アクセスの被害を重く受けとめ、改めてセキュリティ対策の強化を検討・実行いたしました。

以下の通り、再発防止策をご報告いたします。

(1)本件不正アクセスについての対策

窃取されたアクセスキーについては、削除および設定の変更、セキュリティレベルの強化を実施しました。併せて、BCPの観点から、システム全体のバックアップも実施いたしました。

(2)本件不正アクセスについての事後・恒久対策

今後、セキュリティ専門会社による脆弱性診断と追跡調査を実施いたします。また、アクセスキーの高度な暗号化と自動変更機構の導入等の対策により、同様の被害の再発を防止いたします。

(3)当社システムのさらなるセキュリティ強化

開発環境と本番環境（お客様への提供環境）およびサービスごとのアクセス権限分離、開発時に利用するサービスのアカウント権限・運用ルールの見直し、アクセス可能なネットワーク・端末の制限見直しを実施してまいります。併せて、 当社および外部委託先従業員へのセキュリティ教育も実施いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-227】最高裁判所 修習資金の被貸与者に対する不要な個人情報の送信について 2024/6/3

 

本日（令和６年６月３日）、最高裁判所から修習資金の貸与を受けている方に対し、住所等の変更がある場合には届出を行ってほしいとの連絡を電子メールでお送りする際、本来、宛先が相互に判明することがないよう、メールアドレスをＢＣＣに入力して送信すべきところ、誤ってメールの宛先欄に入力して２つのグループに分けて送付し、その結果、各グループにつき修習資金の貸与を受けている方４５０名（２通で計９００名）の氏名、メールアドレス及び修習資金ＩＤを同一メールで送信を受けた方が相互に確認できる状態でメールを送信するという事案が発生いたしました。

関係者の皆様方にはご迷惑とご心配をおかけしておりますことをお詫び申し上げます。今後の対応等につきましては、できる限り速やかに原因を分析した上で、その分析結果を踏まえ、再発防止策を検討するとともに、情報が漏えいした方への御説明についても、迅速に検討し、対応していきたいと考えております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-226】夢展望株式会社 不正アクセスによる当社子会社公式ホームページのドメイン盗難についてのご報告 2024/6/3

当社の連結子会社である株式会社トレセンテ（本社：東京都新宿区、代表取締役社長：藤原達也、以下「トレセンテ」といいます。）の公式ホームページで使用しているドメイン【trecenti.com】が、第三者によるドメイン管理サービスへの不正アクセスにより、海外のドメイン管理会社へドメイン移管処理が行われたことで、現在閲覧できない状態になっております。

現時点で、個人情報の流出、トレセンテの公式ホームページのサーバーへの不正なアクセス等、ドメインを盗まれた以外の被害は確認されておりません。

現在も調査及び復旧作業を継続しておりますが、現時点で判明している事実関係及び対応について、以下のとおりお知らせいたします。

お客様をはじめ関係者の皆様には大変なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

１．経緯と現在の状況

５月29日（水）13：26

トレセンテ公式ホームページで使用している【trecenti.com】を管理しているドメイン管理会社へ第三者が不正にアクセスを行い、海外のドメイン管理会社へのドメイン移管処理が行われる。

５月31日（金）9：15頃

公式ホームページ（https://www.trecenti.com/）が閲覧できない状態になり、調査を開始。

５月31日（金）10：00～

何らかの方法によるドメインの乗っ取り（盗難）の可能性が高いと想定され、ドメイン管理会社とサーバー管理会社に状況確認を行うとともに、警察、弁護士にも相談し各管理会社への情報開示請求の準備を開始。

現時点で判明している不正アクセスの被害は、ドメイン管理会社の管理画面へのID及びパスワードのみで、公式ホームページのデータは別のサーバーで管理されております。そのサーバーには、ご来店予約の為に取得したお客様の個人情報（新郎・新婦のお名前、ご住所、お電話番号、メールアドレス、生年月日、指のサイズ、新居のご住所、入籍日、挙式日など）が含まれておりますが、そこへの不正アクセスは確認されておりません。

６月３日（月）現在

トレセンテのサーバーへの不正なログイン履歴はなく、個人情報はじめデータの漏洩も確認されておりません。

また、トレセンテオンラインサイト（https://trecenti.net/）については、影響を受けておらず、通常通り稼働しております。

２．今後の対応

本件について、警察等関係機関への報告・相談を行いながら、引き続き影響を最小限にとどめる適切な対応に努め、復旧に取り組んでおります。また、失ったドメインが、交渉することが困難な海外のドメイン管理会社に移管されていることから、取り戻せない可能性が高いため、別途新たなドメインを入手し、そちらに公式サイトを復旧させる予定です。

３．業績への影響

本件が当社の業績予想に及ぼす影響については現在精査中です。今後、業績に影響があると判断した場合は速やかに公表いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-115】ワークスタイルテック株式会社 個人データの漏えいに関するお詫びと再発防止に関するご報告 2024/5/31

2024年3月29日に公表しております「弊社サービスをご利用いただいているお客様への重要なご報告とお詫び」のとおり、弊社サービス「WelcomeHR」にて、弊社のお客様の個人データが漏えいしていたことが判明いたしました（以下「本事案」といいます）。改めまして、お客様及び関係者の皆様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。

今回の事態を厳粛に受け止め、再発防止に向けて個人情報管理体制の強化を図るとともに従業員への教育を徹底し、お客様及び関係者の皆様からの信頼回復に全力で取り組んでまいります。また、本事案で漏えいした個人データについての不正利用その他二次被害の事実は現在までに確認されておりませんが、引き続きお客様の二次被害の防止に向けて各種調査・対応を継続してまいります。

本事案に関するこれまでの調査結果と再発防止に向けた取り組みについて、以下のとおりご報告申し上げます。

1 本事案の概要

弊社のクラウドストレージに対するアクセス権限の誤設定により、2020年1月5日から2024年3月22日までの間（以下「本対象期間」といいます）、特定の条件下(※)において、お客様が弊社サービスを通じてアップロードしたファイルが外部からの閲覧及びダウンロードが可能な状態となっており、実際に2023年12月28日から同年12月29日の間において、第三者からの不正アクセスによりファイルのダウンロードが行われたことが発覚いたしました。

なお、不正アクセスは、弊社と直接契約しているお客様の環境に対して行われたものであり、OEM契約又は再使用権許諾契約に基づくお客様のデータに関しては上記不正アクセスを受けておらず、漏えいもしておりません。

※ファイルは誰でも閲覧可能なオープンな状態にあったわけではなく、意図的に特定の操作を行うことで各ファイルを閲覧し、さらにダウンロード可能な状態にありました。

2 本事案の対応経緯

2024年3月22日：セキュリティ調査の実施過程でクラウドストレージへのアクセス権限の誤設定が発覚しました。なお、当該誤設定については、同日中に直ちに是正いたしました。

2024年3月28日：追加調査の結果、第三者からの不正アクセスにより、クラウドストレージ内のファイルがダウンロードされた痕跡を確認いたしました。

2024年3月29日：弊社ウェブサイトで本事案について公表するとともに、個人情報保護法に従って個人情報保護委員会に対する漏えい等報告（速報）を行い、加えて警察署への相談も行いました。また、同日からご契約先の企業の皆様への通知を実施しております。エンドユーザーのお客様につきましては、お客様ご相談窓口を設置のうえ、公表又は個別のご連絡により漏えい内容について順次通知し、現在もお問い合わせへの対応をさせていただいております。

2024年4月11日：外部専門機関に二次被害に関するダークウェブ調査を依頼しました。当該調査は、現在も継続しております。

2024年4月26日：外部専門機関によるサーバー設定の再点検を実施し、情報漏えいに繋がる可能性がある指摘箇所については同日直ちに是正のうえ安全性を確保しております。情報漏えいリスクのない軽微な指摘箇所については、対応計画を立て、順次是正を行っております。

2024年5月24日：個人情報保護法に従い、個人情報保護委員会に対して漏えい等報告（確報）を行いました。

2024年5月31日：個人情報保護委員会に対して追加の情報提供を行いました。

3 本事案による影響

本事案により漏えいが確認された個人データは、本対象期間中にお客様が弊社サービスを通じてクラウドストレージにアップロードしていた各種身分証明書等のPDFファイル及び画像ファイル（当該ファイル内に含まれる氏名、住所、生年月日、性別、電話番号等）です。当該データに係るエンドユーザーのお客様の数は、以下のとおりです。調査の結果、前回公表時の数値から変更がございます。

なお、漏えいがあったご契約先の企業様及びエンドユーザーのお客様には順次個別にご連絡を差し上げております。

個人データが漏えいした人数（総数）：158,929人

　　(1)上記総数のうち　第三者による個人データのダウンロードが確認された人数：150,445人

　　(2)上記総数のうち　個人番号情報を含む人数：46,329人

　　(3)上記総数のうち　クレジットカード又はデビットカード情報を含む人数：8,073人

　　(4)上記総数のうち　要配慮個人情報を含む人数：2,707人

　　　　　(i) 上記(4)のうち　健康診断情報を含む人数：1,937人

　　　　　(ii) 上記(4)のうち　障がい情報を含む人数：798人

なお、本事案による漏えいは、弊社と直接契約しているお客様が対象であり、OEM契約又は再使用権許諾契約に基づくお客様のデータに関しては、漏えいしておらず、本事案による影響はありません。

4 二次被害について

外部専門機関とともに調査を実施いたしましたが、現在までに、本事案で漏えいした個人データの不正利用の事実は確認されておりません。

5 原因

お客様の個人データを含むファイルの保管先であるクラウドストレージに対するアクセス権限の誤設定により、特定の条件下において、お客様が弊社サービスを通じてアップロードしたファイルが外部からの閲覧及びダウンロードが可能な状態となっておりました。

6 再発防止策

上記2に記載のとおり、クラウドストレージへのアクセス権限の誤設定については、既に2024年3月22日に是正済みです。

これに加え、上記を踏まえ、以下のとおり再発防止策を実施いたします（既に完了したものを含みます）。

(1)システム管理体制の強化

クラウド設定の設計及び変更に関してダブルチェック体制を整備し、不正アクセス等の異常があった際に即時対応できるよう監視体制を強化いたします。

また、万が一、不正アクセスがあった際の被害拡大防止策として、お客様からお預かりしたファイルの保管先分離及びアクセス制限の厳格化を併せて実施いたします。

今後の運用体制やセキュリティ対策につきましては、外部専門機関とも連携し、定期的に見直し・改善を実施してまいります。

(2)脆弱性診断の強化

本事案の原因となったクラウドストレージへのアクセス権限の誤設定以外にもセキュリティ面におけるその他の不備がないかどうかを点検するため、2024年4月26日、クラウドの設定状況に関する診断を外部専門機関に依頼し、情報漏えいに繋がる可能性がある指摘箇所については同日中に直ちに是正いたしました。情報漏えいリスクのない軽微な指摘箇所については、対応計画を立て、順次是正を行っております。

今後は、現在実施しているアプリケーション及びネットワークに対する定期的な脆弱性診断に加え、上述したクラウド設定状況に関する診断についても定期的に実施してまいります。

(3)情報セキュリティに関する従業員への再教育

外部専門機関と連携し、個人情報保護や情報セキュリティに関する従業者への再教育を実施いたします。

改めまして、お客様及び関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

お客様の大事な個人情報を取り扱う会社としてこのたびの事態を厳粛に受け止め、再発防止に全力で取り組むとともに、お客様及び関係者の皆様からの信頼回復に向けて努めてまいります。

リリース文（アーカイブ）

【2024年3月29日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-225】えちご上越農業協同組合 個人情報漏えいに関するお詫びとご報告

 

この度、合併前のひすい農業協同組合（以下、ＪＡひすい）におきまして、職員（令和６年２月末退職）による個人情報の不適正な取得が判明しました。

内部調査により発覚したのち、個人情報を記録した媒体はすでに回収し、ご利用者様への被害およびその恐れはないものと捉えております。

関係する皆さまには、多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

当組合では、これまでも個人情報の厳格な取り扱い・管理の徹底に努めて参りましたが、今回の事態を重く捉え二度とこのようなことを起こさぬよう、より一層の管理態勢に努め、再発防止に取り組んで参ります。

１．事案の概要

ＪＡひすいに勤務していた職員が退職する際に、ご利用者様の共済契約データを個人所有のＵＳＢメモリに保管し、持ち出しました。当組合の３月の内部点検によって発覚したため、当事者より事情を聴取のうえ個人情報の記録されたＵＳＢメモリを回収しました。

２．漏えいした個人情報

ＪＡひすいでの共済契約（生命・建物）に関する以下のデータ

氏名・住所・生年月日・性別・電話番号・契約情報等

但し、貯金口座情報・クレジット情報等は含まれておりません。

契約者数 12,032 名

３．発覚後の対応

組合が事業活動により入手した個人情報を規定以外の媒体へ記録することは、法令上個人情報漏えいに該当することから、速やかに監督官庁である新潟県に本事案を報告し、弁護士とも相談をしております。

また、該当するご利用者様には当組合より個別に郵送にてご連絡をさせて頂いております。

４．再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知するとともに、情報管理については安全管理措置をより一層強化いたします。

５．その他

当組合ではご利用者様の個人情報を記録した媒体はすでに回収し、ご利用者様への被害およびその恐れはないものと捉えておりますが、万一、心当たりのないセールス・不審な電話等がございましたら、下記のお問い合わせ先まで至急ご連絡をお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-224】上尾市 職員の懲戒処分について 2024/5/29

 

下記のとおり懲戒処分を行ったので、上尾市職員の懲戒処分等に関する公表基準に基づき、公表します。

1　所属名　　　　

子ども未来部青少年課

2　職　位　　　　

主査

3　年　齢　　　　

48歳

4　性　別　　　　

男性

5　処分年月日　　

令和6年5月28日

6　処分内容　　　

停職5月　令和6年6月1日から令和6年10月31日まで

7　事件の概要

令和3年3月に当該職員は、当時所属していた行政経営部資産税課の課税事務において、自身が納税管理人となっている土地（所有者：当該職員の兄）の固定資産税・都市計画税の評価額及び税額を引下げるよう、電磁的記録である「総合行政システム（固定資産税）」の土地課税台帳の数値を変更したもの。別の職員が確認作業中に気付き、本来の数値に戻したことにより、実際に被害は生じなかったが、市は令和3年6月17日付けで上尾警察に事件の告発を行い、令和6年4月12日付けで起訴猶予による不起訴処分とされた。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-115】 株式会社イオンイーハート 弊社元従業員及びそのご家族の方々へ個人情報の漏えいについてのお知らせとお詫び 2024/5/10

 

当社が従業員情報管理及び雇用契約管理のため使用している「WelcomeHR」の開発・運営管理会社であるワークスタイルテック株式会社（以下「ワークスタイルテック社」といいます。）より、2024年3月29日に、ワークスタイルテック社が行ったシステム設定の誤りにより情報漏えいが発生したと当社に連絡がありました。その後の事実確認により、退職された従業員、既存従業員及び一部ご家族を含む個人情報の漏えいが確認されました。皆様には、多大なご迷惑とご心配をおかけすることとなりましたことを、深くお詫び申し上げます。

1）本件の概要

2024年3月29日、ワークスタイルテック社より当社に対し、サーバーのアクセス権限設定誤りにより個人情報の漏えいが発生したとメールで報告が入りました。アクセス権限の誤設定により、限定された特定の条件下において外部から閲覧可能な状態にあり、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。

2）原因

ワークスタイルテック社によるサーバーのアクセス権限の誤設定

3）漏えいした時期

ダウンロードが確認された期間2023年12月28日から2023年12月29日

閲覧が可能であった期間2020年1月5日から2024年3月22日

4）漏えいしたデータ項目

WelcomeHR でアップロードした PDF・画像データ（雇用契約関連・年末調整関連）

（WelcomeHR の WEB ページに入力されたテキストデータでの基本情報は含まれません。）

5）個人別の漏えい内容

個人ごとに漏えいしたデータの内容につきましては、本人確認が取れ次第メールでお送りさせて頂きます。

リリース文（アーカイブ）

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年6月号）※6か月目

 

 1.融資済み案件の状況

全体としては260USDの投資に対して、85USDが返済されている感じ。

投資案件は全10件。内5件に何らかの遅延が発生している模様。

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：48%⇒68%　※遅延発生中

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：46%⇒63%

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：36%⇒52%　※遅延発生中

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：16%⇒22%　※遅延発生中

融資No：2737152号（https://www.kiva.org/lend/2737152）

• 融資国：タジキスタン
• Lending partner：Humo
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：15%⇒31%

融資No：2731801号（https://www.kiva.org/lend/2731801）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation (NWTF)
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：20%⇒36%　※遅延発生中

融資No：2751150号（https://www.kiva.org/lend/2751150）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3952.5円）
• 返済率：0%

融資No：2738778号（https://www.kiva.org/lend/2738778）

• 融資国：パラグアイ
• Lending partner：Fundación Paraguaya
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3952.5円）
• 返済率：43%　※遅延発生中

融資No：2757831号（https://www.kiva.org/lend/2757831）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4060.5円）
• 返済率：0%

融資No：2771828号（https://www.kiva.org/lend/2771828）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4060.5円）
• 返済率：0%

2.新規融資案件 

融資条件

• LOAN LENGTH：8 mths or less
  
  
• RISK RATING：4-5
  星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。
  
  
• DEFAULT RATE：～1%
  返済に失敗した（もはや返済していない）終了ローンの割合。
  
  
• PROFITABILITY：4%～
  フィールド・パートナーの収益性を示す指標。

今月の新規融資先

融資No：2783502号（https://www.kiva.org/lend/2783502）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4099円）
• 返済率：0%

融資No：2778268号（https://www.kiva.org/lend/2778268）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4099円）
• 返済率：0%

【セキュリティ事件簿#2024-222】滋賀県立湖南農業高の教諭が「gmail」を「gmeil」と入力ミスし、高校生140人分の個人情報をお漏らし

 

滋賀県立湖南農業高校（草津市）で、生徒140人や保護者、インターンシップ関係者など計140人分の個人情報データが流出したことが31日、発覚しました。原因は、担当教諭がメールアドレスの入力を誤り、別のアドレスに誤送信したことによるものです。

流出した個人情報には、インターン参加予定の農業科2年生69人の氏名、生年月日、住所、保護者氏名、出身中学、電話番号（29人分）、インターン受け入れ先49事業所の名称や住所、昨年度インターンに参加した農業科3年生71人の氏名などが含まれています。

教諭は25日、自宅で作業するため、教頭の許可を得てデータを自身のアドレスに送ろうとしたところ、ドメイン名を「gmail」ではなく「gmeil」と打ち間違えて送信しました。誤送信に気づいた後、送信先に連絡を取ろうとしたものの、反応はなかったということです。

この教諭は、個人情報の送信時に義務付けられているパスワードの設定をしていませんでした。滋賀県教育委員会は、教諭に対し適正な情報管理を徹底するよう指導するとともに、類似ドメインへの誤送信を防ぐための対策を講じるとしています。

現在、情報漏洩による被害は確認されていませんが、関係者への不安は大きく、再発防止策の強化が求められています。

この事件は、教職員による情報管理の重要性を改めて浮き彫りにしました。 

学校現場では、教職員向けの情報セキュリティ教育を徹底し、適切な情報管理体制を構築することが不可欠です。また、漏洩被害が発生した場合の迅速な対応体制も整備する必要があります。

今回の事件を教訓に、再発防止に向けた取り組みを関係者全員で進めていくことが重要です。

以下、この事件に関する詳細情報です。

• 流出件数：約140人分
• 流出内容：氏名、生年月日、住所、保護者氏名、出身中学、電話番号（一部）、事業所名、住所など
• 原因：教員の入力ミスによる誤送信
• 被害状況：現時点では確認されていない
• 今後の対応：教諭への指導、類似ドメインへの誤送信対策の強化

参考情報

• 「gmail」を「gmeil」と入力ミスし送信　高校生140人などの個人情報流出

【セキュリティ事件簿#2024-028】株式会社ほくやく・竹山ホールディングス ランサムウェア被害に関する調査結果のご報告 2024/5/31

本年２月５日にお知らせいたしましたとおり、弊社は本年2月3日未明に弊社サーバ等に対する第三者からの不正アクセスによるランサムウェア攻撃の被害を受けました。これまで、取引先様をはじめ、多くの関係者の皆様にご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。

本件では、発覚後速やかに内閣府個人情報保護委員会への報告ならびに北海道警察への被害申告および相談を行うとともに、二次被害の防止対策、復旧作業や分析調査等の実施、また外部専門機関の助言のもと、被害状況、原因等の調査を進めてまいりました。このたび調査結果がまとまりましたので下記のとおりお知らせ申し上げます。

1. 被害の概要および原因

攻撃者は、弊社のSIMカード搭載のノートパソコン（以下「ノートPC」といいます。）に対して、リモートデスクトップ接続による不正アクセスによって攻撃を開始し、弊社の業務用  サーバ等に不正にアクセスしてランサムウェア「Enmity」を実行し、データの暗号化を行ったものと考えられます。暗号化されたデータは復号されていませんが、別に保管していたデータ等により、事業活動の目的に応じた適正利用が可能となっております。

アクセスに使用されたIDおよびパスワードは、ドメイン管理者の正規のもので、この際に使用されたIDおよびパスワードの漏洩または入手経路につきましては現在も調査中です。

なお、弊社グループ会社も本件事案に関連し同様の被害を受けましたが、本件調査において、(株)そえる、(株)モルス、(株)ノバメディカルにおいては、被害がなかったことが判明しております。

2. データの漏洩等がなかったとの判断について

弊社では、これまで外部専門機関によるフォレンジック調査を行いましたが、本件の暗号化 の対象となったデータの漏洩等の痕跡は確認されませんでした。

しかしながら、不正アクセスを受けたファイルが漏洩した可能性を想定し、ダークウェブ調査を併せて行いましたが、本件に係る漏洩データの検出はなく、これまで二次被害の情報もありません。

以上の調査結果から、弊社は、本件不正アクセス被害において、個人情報等のデータの漏洩等はなかったものと判断いたします。

3. 再発防止策に向けた取組

（1）より 強固なセキュリティ対策ソフトの導入

（2）OS、アプリケーション、サーバ等に関する脆弱性管理の徹底

（3）多要素認証の導入 など各種パスワード管理の強化

（4）従業員  教育の強化 とトレーニングの継続実施

（5）セキュリティポリシーの見直 しと周知徹底

（6）バックアップシステムの改善

以上に留まることなく、再発防止策は、外部専門機関の意見を踏まえ、社内のサイバーセキュリティ対策委員会によって、常に最新情勢に応じ た検討 を行 い実行してまいります。

リリース分（アーカイブ）

【2024/2/5リリース分】

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2024年5月）

 

2024年5月のランサムウェア被害を受けた日系企業のリスト。

Chuo System Service Co.,Ltd

組織名

中央システムサービス株式会社

ランサムウエアギャング

ransomhub

その他

Gantan Beauty Industry

組織名

元旦ビューティ工業株式会社

ランサムウエアギャング

ransomhouse

関連事件簿

【セキュリティ事件簿#2024-210】元旦ビューティ工業株式会社　弊社サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 　2024/5/27

 

Natsume Tax Accountant Corporation

組織名

税理士法人 夏目事務所

ランサムウエアギャング

8base

その他

Osaka Motorcycle Business Cooperative

組織名

大阪オートバイ事業協同組合

ランサムウエアギャング

8base

その他

Matusima

組織名

株式会社マツシマ

ランサムウエアギャング

8base

その他

Shirasaki

組織名

株式会社白崎コーポレーション

ランサムウエアギャング

8base

その他

【セキュリティ事件簿#2024-220】株式会社DMM Bitcoin 暗号資産の不正流出発生に関するご報告 2024/5/31

 

2024年5月31日（金）13時26分頃に、当社ウォレットからビットコイン（BTC)の不正流出を検知しました。

被害状況の詳細は引き続き調査中となりますが、現段階で判明しているものは下記の通りです。また、不正流出への対策はすでに行いましたが、追加の安全確保を行うべく一部サービスの利用制限を実施いたしました。

お客様にはご不便をおかけいたしますことを深くお詫び申し上げます。

■暗号資産の流出状況について

当社ウォレットより、不正流出したビットコイン（BTC）の数量は、4,502.9BTC（約482億円相当）と判明いたしました。

■お客様の預りビットコイン（BTC）について

お客様の預りビットコイン（BTC）全量については、流出相当分のBTCを、グループ会社からの支援のもと調達を行い、全額保証いたしますのでご安心ください。

■サービスの利用制限について

以下のサービスの利用を制限させていただきました。

・新規口座開設の審査

・暗号資産の出庫処理

・現物取引の買い注文を停止（売却のみ受け付け）

・レバレッジ取引の新規建玉注文を停止（決済注文のみ受け付け）

※既に注文されている、現物取引およびレバレッジ取引の指値注文はキャンセルされません。

※日本円の出金については通常よりもお時間をいただく場合がございます。

サービスの再開につきましては、別途お知らせ申し上げます。

このような事態が発生し、お客様には多大なご迷惑およびご心配をおかけしておりますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-219】株式会社日刊工業新聞社 個人情報を含むノートパソコンとスマートフォン紛失のお知らせとおわび 2024/5/30

 

この度、弊社において個人情報を含んだ弊社所有のノートパソコンとスマートフォンの紛失事故が発生いたしました。以下、概要をお知らせするとともに、関係先の皆さまに深くお詫び申し上げます。

１．紛失の経緯

2024年5月23日午前10時40分から午前11時20分の間に、弊社従業員が取材先から帰社途中の電車内で、網棚に置いたノートパソコンとスマートフォンが入った鞄の盗難被害に遭いました。紛失発覚後、警察署に被害届を提出し、同年5月29日午後2時に所轄警察署からノートパソコンが見つかったとの連絡がありました。

なお、同年5月23日午後12時30分ごろ、当該従業員より紛失の報告を受け、速やかに利用アカウントの強制サインアウト、パスワードリセットを実施し、アクセスログを調査したところ、紛失以降にサインインの形跡はなく、現時点では情報の漏えいも確認されておりません。

２．ノートパソコンとスマートフォンに含まれていた個人情報等

　・取材先等、約400名分の氏名・所属組織・メールアドレスを含んだメール約1000通

　・弊社従業員の氏名・所属組織を含んだ電話帳データ

３．二次被害またはそのおそれの有無

現時点まで確認されておりませんが、今後、状況に変化があれば速やかにお知らせ致します。

４．お客さまへのお願い

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意ください。

５．紛失後の弊社の対応

　・警察署へ遺失届、被害届を提出しております。

　・取材先等、約400名の方に関しましては、電話またはメールにて順次ご連絡を進めております。

　・個人情報保護委員会への報告を済ませております。

６．再発防止策

本事案の発生を重く受け止め、持ち出し端末の取り扱いに関するルールを見直し、再度全従業員に対して個人情報の取扱いについて周知徹底を行うとともに、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-215】株式会社フォーバル 弊社への不正アクセスについて 2024/5/29

 

日頃より、弊社サービスや商品をご利用くださいまして、誠にありがとうございます。

2023年11月17日に発生しましたシステム障害に関して、調査の結果、社内ネットワークへの第三者による不正アクセスを受け、情報漏えいのおそれが確認されました。

影響範囲におきましては、弊社DB上にある法人情報（過去に取引したことのある企業情報を含め※法人名・代表者名・住所・連絡先※電話番号およびメールアドレス・本社住所など各企業のHP上に公表されている情報のDB化されたもの）が対象になります。

人事・財務情報および特定個人情報についてはクラウドまたは外部委託を行っていたため、影響はございません。

なお、不正アクセスを受けた機器のネットワーク接続など関連するサーバの接続などは発生確認時より速やかに遮断し、各調査機関ならびに個人情報保護委員会への報告・相談を行うと同時にシステムの調査・復旧を進めてまいりましたため、現在は一部を除くシステムへの影響はないことを確認しております。

今回の不正アクセスはランサムウェア（身代金要求型ウィルス）による攻撃が原因であることが特定されておりますが、弊社のシステム運用により被害を軽微に留めることが出来ております。

また、今回の攻撃による外部からの被害報告は受けておりません。

引き続き、監視と詳細調査の継続を行いますが、この度、システム障害によるお客様をはじめ、関係する皆様にご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。

フォーバルグループでは、改めて一層のセキュリティ対策を強化し、皆様のお役に立てるように引き続き、取り組んでまいります。

なお、本件の当社グループの前期業績に及ぼす影響については限定的でございます。

引き続き、フォーバルグループをよろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-214】株式会社ネクストレベル 不正アクセスによる個人情報漏えいのお知らせとお詫び 2024/5/24

 

平素はネクストレベルをご利用いただき誠にありがとうございます。

株式会社ネクストレベル（大阪府大阪市 代表取締役社長・志村康雄）は、当社が管理運営する「ネクストレベル」のプラットフォーム加盟企業に付与しておりました管理画面から、ワーカーデータベースに対する不正なアクセスにより、一部のワーカー様の個人情報が抜き取られるという事態が発生したことが判明いたしましたのでご報告いたします。

当社は、本件発覚後、警察への被害相談及び個人情報保護委員会への報告を行い、通知先となるメールアドレスが把握できているワーカー様に対するご通知を実施しておりましたが、その他のワーカー様への通知方法の検討に時間を要し、大切な情報の公表が遅くなってしまったことを、深くお詫び申し上げます。

ワーカーの皆様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

・発覚の経緯

2023年7月14日、第三者から、一部のワーカー様の個人情報が漏えいしているとの情報提供がありました。

当社が直ちに外部のシステム専門家と連携しつつ、調査を実施したところ、当社が管理運営する「ネクストレベル」のプラットフォーム加盟企業に付与していた管理画面から、ワーカーデータベースに対する不正なアクセスにより、一部のワーカー様の個人情報が抜き取られるという事態が発生していたことが発覚いたしました。

・対象となる情報の内容と件数

内容：当社が管理運営する「ネクストレベル」に登録・エントリーされているワーカー様のID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴及び勤務条件、資格、緊急連絡先、当社システム上に保存されていた身分証明書写真データにアクセスするためのリンクURL（既に変更・セキュリティ措置済）。なお、当社はマイナンバーを取得しておりませんので、漏えい情報にマイナンバーは含まれません。

件数：496,119件

・現在までの対応

本件発覚後、当社は直ちに当該プラットフォーム加盟企業のアカウントの停止等、必要な緊急対策を実施いたしました。

また、システム会社と連携の上、セキュリティ向上のためのアップデートを行い、同様の事態が発生しないよう改善措置を実施済です。

発覚後、同個人情報を転得したと称する者からの連絡がありました。当社は、警察への被害相談を実施すると共に、警察署において、警察官立ち合いの下、同人物からワーカー様の個人情報を含むUSBメモリの返還を受けました。当該人物は、個人情報は複製していないと述べておりましたが、同事実の確認はできません。

なお、後述のとおり、同返還に関して、当社が資金提供等を申し出た事実はありません。

また、当社は、2023年11月、個人情報保護法に基づき、個人情報保護委員会への報告を実施するとともに、通知先となるメールアドレスが把握できているワーカー様に対するご通知を実施いたしました。

個人情報保護委員会への報告及びワーカー様へのご通知までに時間を要したことにつきましては、心よりお詫び申し上げます。

また、一部ワーカー様へのご通知が遅延しておりますことについても、心よりお詫び申し上げます。

なお、一部SNSにおいて、当社役職員がワーカー様の個人情報を売買した、あるいは、個人情報回収のために金員提供を申し出たなどの投稿が散見されますが、全くの事実無根です。

正確な情報は当社リリースをご確認いただけますよう、重ねてお願い申し上げます。

現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。

※本リリースに記載するほか、漏えいに至った経緯や、漏えいした個人情報の内容の詳細等につきましては、大変申し訳ございませんが、今後の対応や、個人情報不正利用防止の観点から、差し控えさせていただきます。

・今後の対策と再発防止

当社は、この事態を重く受け止め、外部の専門機関の協力を得つつ、情報セキュリティ体制のさらなる強化を図り再発を防ぐため、最善の努力を惜しまない所存です。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-031】ヤマモリ株式会社 『伊勢醤油本舗オンラインショップ』不正アクセスによる クレジットカード情報流出懸念に関するお詫びとお知らせ 2024/5/28

 

このたび、弊社子会社の伊勢醤油本舗株式会社が運営するオンライン通販サイト（以下、EC サイト）において、お客様の個人情報(9,034 名)および、クレジットカード情報(2,727名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑をおかけしておりますことを深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、順次、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

本件は 2024 年 1 月 18 日に EC サイトに第三者による不正アクセスを受けた可能性があることが判明、同日中にオンライン決済サービスとの切り離しを実施致しました。弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。

1. 経緯

2024 年 1 月 18 日、伊勢醤油本舗株式会社の EC サイトが使用するショッピング構築システムにて第三者による不正アクセスを受けた可能性があることが警察からの指摘で判明致しました。これを受け、当日内にネットワークからの切り離しを実施、捜査に必要な情報を提出。併せて 1 月 31 日より第三者調査機関による調査を開始致しました。

2024 年 2 月 19 日にカード決済代行会社およびカード会社を通じて被害の発生有無を確認致しました。

2024 年 2 月 29 日、第三者調査機関の調査結果にて、お客様情報の窃取などの攻撃が行われた可能性があることが判明しました。2021 年 6 月 10 日～2024 年 1 月 18 日の期間に「伊勢醤油オンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認致しました。

以上の事実が確認できたため、本日の発表に至りました。

２．対象となるサイト

伊勢醤油本舗オンラインショップ（https://www.isesyoyu.co.jp/）

※電話やハガキ、FAX でご注文されたお客様は含みません。

※ヤマモリ株式会社公式オンラインショップ（楽天市場、Yahoo！ショッピング）は対象ではございません。

3．原因

伊勢醤油オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の

不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

４．流出が懸念される情報

(1) 個人情報漏えいの可能性があるお客様

当サイトにおいて購入されたお客様 9,034 名で、漏えいした可能性のある情報は以下のとおりです。

氏名

メールアドレス

郵便番号

住所

電話番号

FAX 番号（任意入力項目）

生年月日（任意入力項目）

性別（任意入力項目）

(2) クレジットカード情報漏えいの可能性があるお客様

2021 年 6 月 10 日～2024 年 1 月 18 日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様 2,727 名で、漏えいした可能性のある情報は以下のとおりです。

カード名義人名

クレジットカード番号

有効期限

セキュリティコード

および伊勢醤油オンラインショップログイン用のパスワード

上記に該当する 9,034 名のお客様については、別途、電子メールおよび書状にて 個別にご連絡申し上げます。

５．お客様への対応

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い致します。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。また、お客様がクレジットカード番号の変更をご希望の場合は、クレジットカードの再発行手数料のご負担をおかけしないよう、弊社よりカード会社に依頼しております。

６．公表が遅れた経緯について

2024 年 1 月 18 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止めるべく対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

７．現在の状況

現在、オンラインショッピングによるご注文は停止しており、お電話でのご注文の際は、別のお支払方法（代引きまたは振込）でのお支払いをお願いしております。

所轄警察には 2024 年 1 月 18 日、所轄官庁（個人情報保護委員会）には 2024 年 1 月 31日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。

８．今後の対応

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「伊勢醤油オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせ致します。

リリース文（アーカイブ）

【2024/1/9リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-212】川崎市 個人情報を含む USB メモリの所在不明について 2024/5/27

 

まちづくり局交通政策室では、ペーパレス化や過去の申請資料の検索を迅速化するため、過年度（平成５年度、平成１７年度～平成２８年度）に申請された駐車施設附置届出書等（紙資料）１，６６０件（同一の者からの申請を除くと６６４件）をスキャンしてハードディスクに保存するとともにバックアップのためUSB メモリに一時的に保存しておりました。

令和６年５月１６日（木）、担当職員がスキャンしたデータを保存するため、交通政策室内（本庁舎内執務室）の保管場所を確認したところ、USB メモリが保管されておらず、捜索の結果、USB メモリ２個（USB メモリ①、USB メモリ②）の所在不明が判明し、現時点においても発見にいたっておりませんので、お知らせいたします。

なお、現時点では個人情報の漏えいは確認されておりません。

また、USB メモリに保存しているデータはバックアップ用であるため、業務への支障はない見込みです。

１ 所在不明の USB メモリに含まれる個人情報

USB メモリ①に保存しているもの：申請総数１，６６０件（同一の者からの申請を除くと６６４件）

個人による申請件数：１４３件

• 駐車施設附置（変更）届出書に記載の申請者情報（氏名、住所、電話番号）は、３４件
• 総合調整条例の事業概要書及び協議書に記載の申請者情報（氏名、住所、電話番号）は、１００件
• 大規模小売店舗立地法の規定による届出に記載の申請者情報（氏名、住所、電話番号）は、９件
• なお、上記のうち、同一個人の申請（変更）による重複を除いた件数は、１２８件

法人による申請件数：１，５１７件

• 駐車施設附置（変更）届出書に記載の申請者情報（法人の代表者の氏名等）は、１，１１１件
• 総合調整条例の事業概要書及び協議書に記載の申請者情報（法人の代表者の氏名等）は、３２６件
• 大規模小売店舗立地法の規定による届出に記載の申請者情報（法人の代表者の氏名等）は、８０件
• なお、上記のうち、同一法人の申請（変更）による重複等を除いた件数は、５３６件

※上記全て、届出書等をスキャンした「画像ファイル」として保存

USB メモリ②は庁舎移転時のデータ転送用で使用していたため、保存しているデータはありません

２ 経 過

３月 ７日（木）

担当者が USB メモリ①にスキャンデータを保存（最終使用日）

５月１６日（木）

１５時半頃、USB メモリ①の所在不明を覚知したことから担当者が上司へ報告し、交通政策室内での捜索に着手

また、当室所管の USB 台帳と現物を突合したところ、新たに USB メモリ②が所在不明であることが判明し、合わせて捜索に着手

５月１７日（金）

引き続き所在不明の USB メモリ①②の捜索を継続

～５月２４日（金）

また、令和６年４月１日付けで当室から他部署へ異動した職員を含め、当室所属の全職員（３０名）に対し聞き取り調査を実施。USB メモリ②については、最終使用者から、１月２３日に使用後、データを削除して保管場所へ戻したことを確認

 職員への聞き取りの結果、所在不明となっている USB メモリ①②の外部への持ち出しは確認されていない。

５月２７日（月）

対象となる申請者へ今回の事案とお詫びを記載した通知を発送

３ 原 因

上記１に記載の情報のバックアップを目的に一時的に USB メモリにデータを保存していたが、USB メモリの利用記録を作成し、貸出返却を確実に行う管理を不注意により怠ったため所在不明となったもの。

４ 今後の対応

当該 USB メモリの捜索を継続します。

また、まちづくり局内各所属で所有する USB メモリを原則廃止し、局の総務部門での一括管理とするなど、取扱いについて全面的に見直すとともに、改めて、職員に対して、情報セキュリティの重要性について十分理解させるための研修等を実施するなど、再発防止に向け、個人情報を含むデータの取扱に関する規則等を徹底するよう改めて指導してまいります。

対象となる申請者の方にはお詫び文などにより今回の事案のお知らせと謝罪をしてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-211】知多メディアスネットワーク株式会社 個人情報の漏えいに関するお詫び 2024/5/8

 

いつも当社のサービスをご利用いただき、誠にありがとうございます。

この度、メディアスアプリ（PC版）において、CNCIグループ他社の個人情報が表示される事象が判明しました。

お客様並びに関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

当社では、これまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、今回情報漏えいが発生したことを踏まえ、より一層の情報管理体制の強化に取り組んでまいります。

１．経緯

2024年5月1日当社お客様から「利用明細を印刷した際、別の方の情報が記載されている」とのご連絡を頂きました。

内容確認と調査の結果、4月22日に印刷した利用明細から

共通システムを利用する別のCNCIグループ2社の個人情報が表示されていたことが判明しました。

漏えいした個人情報につきましては、お客様のご協力のもと、印刷物を回収するとともにデータ保管はされていないことを確認しております。

２．漏えいした個人情報

（１）表示されたお客様情報

　　・氏名

　　・住所

　　・ご利用サービス

　　・お引き落とし口座番号の一部（下4桁は伏字、※金融機関名は含みません）

　　　※クレジットカード・電話番号・メールアドレス等の情報は含まれておりません。

（２）対象となるお客様の人数

　　・漏えいのあった人数：CNCIグループ2社 各1名(計2名)

　　・漏えいの可能性があった人数：　7名

　　　※漏洩の可能性がある先の7名の方とは連絡が取れ、別の方の情報を閲覧したり印刷したりした事実がないことの確認がとれております。

３．原因

アプリサーバーの能力向上のため2024年4月19日に変更したシステム構成の不具合により共通システムを利用する別のCNCIグループ2社の個人情報が表示されました。

尚、システム変更による効果が発揮されなかったため、4月24日に従来の構成に戻しました。

４．対応および再発防止策

（発覚直後に実施済み）

　　・対象のCNCIグループ2社に連絡し、対象のお客様へ連絡しました。

　　・アクセスログを確認し、期間中に利用明細を印刷したお客様に表示内容を確認しました。

（今後速やかに実施）

　・より強固なシステムへの構成変更を検討します。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-210】元旦ビューティ工業株式会社 弊社サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2024/5/27

 

弊社サーバーが第三者による不正アクセスを受け、サーバーに保管されていた個人情報を搾取された可能性があることが判明いたしました。現在の状況と今後の対応につきまして、次の通りご報告いたします。

１、経緯

弊社サーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2024年3月20日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、判明翌日から外部専門業者の協力を得ながら調査を続けてまいりました。調査の過程において、5月17日までは漏洩の痕跡は見当たらなかったものの、5月20日に情報漏洩の可能性があることが確認されたため、5月22日に個人情報保護委員会へ「漏洩のおそれ」として報告いたしました。

２、被害状況

現在、鋭意調査を続けておりますが、漏洩の可能性がある個人情報は以下の通りです。

・社員情報（氏名・住所・電話番号・メールアドレス）

・弊社協力企業情報（社名・氏名・住所・電話番号）

・顧客情報（氏名・住所・メールアドレス）

尚、現時点において、不正に得た情報が悪用されたという被害報告はございません。

３、今後の対応

本件につきましては引続き外部専門業者の協力を得ながら、事実の確認に努めております。また、現在は「漏洩の可能性」の段階でございますが、漏洩の事実や不正に得た情報が悪用されたという事実が生じた場合は改めて公表いたします。

なお、漏洩の事実や情報の悪用が確認されていない現段階におきましては 2024年３月期決算発表に及ぼす影響は無いと判断しております。この度は皆様に多大なご迷惑ご心配をお掛けしておりますこと、改めて深くお詫び申し上げます。弊社は今回の事態を重く受け止め、セキュリティ体制の改善およびネットワークに対する監視体制強化など、再発防止に向けまして全力で取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-032】こころネット株式会社 当社サーバーへの不正アクセス被害に関する追加対応のご報告 2024/5/27

当社は、2024年１月26日に公表いたしました「第三者による当社サーバーへの不正アクセス被害のお知らせ」及び2024年３月1日に公表いたしました「（開示事項の経過）当社サーバーへの不正アクセス被害に関する調査結果のご報告」のとおり、当社サーバーが第三者による不正アクセス被害を受けたことを確認し、外部専門家や警察と連携のうえ、調査・対応し、再発防止に努めてまいりました。その後、個人情報保護委員会への報告・相談を進める中で、個人情報が外部に流出した可能性が完全には払拭できないと判断しました。つきましては、追加の対応を進めることといたしましたので、以下のとおりご報告いたします。

関係各位の皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器等に蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のこと。

１．発覚の経緯及びこれまでの対応状況

2024年１月16日、当社サーバーへのアクセス障害が発生し、再起動により復旧いたしました。

2024年１月16日～23日まで、当社のＩＴ担当部署にて調査した結果、当社サーバーへのパスワード改ざん、不明なファイルの生成及び大量アクセスを確認いたしました。これらの状況から、第三者による当社サーバーへの不正アクセスがなされたと判断し、当該サーバーに対してパスワード変更やサーバー停止等の措置を実施いたしました。

2024年１月24日、外部専門家を交えて、原因の特定、被害情報の確認、情報流出の有無等の調査を実施いたしました。その過程で、第三者による不正アクセス被害があったものと断定し、同日に対策本部の設置及び警察への通報等を行いました。

2024年１月25日、情報流出のおそれの可能性を考慮し、個人情報保護委員会へ報告いたしました。

2024年１月29日から、外部専門家によるフォレンジック調査を開始するとともに、被害を受けたサーバーの再構築やネットワーク環境の見直し等を直ちに実施いたしました。

2024年２月27日、外部専門家によるフォレンジック調査が完了し、調査報告を受領いたしました。

2024年３月19日、個人情報保護委員会へフォレンジック調査結果を報告いたしました。

2024年４月19日、個人情報保護委員会の見解をもとに調査結果の再精査を開始いたしました。

2024年５月27日、内容を精査する過程で、個人情報が外部に流出した可能性が完全には払拭できないという判断に至りました。

なお、2024年５月27日現在まで個人情報の流出は確認されておりません。

２．流出等のおそれがある対象者及び個人情報の項目

対象者 

・「対象のグループ企業」の利用履歴があるお客様

・当社グループの従業員

対象のグループ企業

・こころネット株式会社

・株式会社たまのや

・カンノ・トレーディング株式会社（石のカンノ）

・株式会社Ｗith Ｗedding

・株式会社北関東互助センター

項目

以下の項目のいずれか複数項目

・氏名

・生年月日

・性別

・住所

・電話番号

・メールアドレス

３．二次被害のおそれの有無及び内容

現時点においては不正使用等の二次被害が発生した事実は確認されておりません。

関係各位の皆様におかれましては、不審な問合せに十分ご注意いただきますようお願いいたします。万が一、第三者の悪用を確認した場合は、「４．お問合窓口」にご連絡ください。

４.お問合窓口

（略）

５．再発防止策及び今後の対応

上記の追加対応を進めるとともに、外部専門家のアドバイスを受けながら、システム・ネットワーク・デバイスのセキュリティ対策、情報セキュリティインシデントに対する体制の強化及び従業員に対するセキュリティ教育を図り再発防止に努めてまいります。

また、引き続き、警察への捜査協力及び個人情報保護委員会への報告等を行ってまいります。

なお、本件による当社の2025年３月期連結業績に与える影響は軽微であると判断しておりますが、公表すべき事項が生じた場合には、速やかにお知らせいたします。

リリース文（アーカイブ）

【2024年1月26日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-209】株式会社トラスト＆コミュニケーションズ 個人情報の漏えいのおそれについて 2024/4/26

 

4月9日、弊社の社員の業務用パソコン1台がサポート詐欺に遣い、その際巧みに遠隔操作ソフトがインストールされ、約10分間当該業務用パソコンが第三者によって遠隔操作されたことから、同パソコン内に保存していた資料等 (以下、お客様リスト等という。)がコピーされ抜き取られた可能性がある事象が発生しました。本件に関してのお客様からの被害や不審な接触等のご連絡はございません。

本件について、下記のとおり報告いたします。

今回の不祥事に対し、 心からお詫び申し上げますとともに、 再発防止に努めてまいります。

漏えいのおそれの範囲

お客様リストには、弊社既契約者 54 名様分の情報が記載されておりました。

リストの記載情報は、お客さまによって相違いたしますが、お名前、ご住所、電話番号、罹患された病名が記載さんれております。

判明後の対応

本事案判明後、対象のお客様全員に対して、 当社よりお詫びのお電話を差し上げているほか、ご連絡が取れなかったお客様にはお詫び状をお送りさせていただきました。

また、取引保険会社各社、監督当局に対しても報告しております。

今後の対応について

弊社としては、今回の事態を非常に重く受け止め、 情報管理について今後更なる厳格化を図り、再発防止に全力で取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-208】山口県 特定非営利活動法人役員等の個人情報漏えいについて 2024/4/12

 

県では、特定非営利活動促進法に基づき特定非営利活動法人（以下「NPO法人」という。）から毎事業年度提出される事業報告書等について、県民生活課及びやまぐち県民活動支援センターにおいて閲覧に供するとともに、内閣府が運営するNPO法人ポータルサイト（以下「ポータルサイト」という。）に掲載し、公表しているところです。

この度、非公開とすべき個人の住所について、誤って閲覧請求者に公開した事案、及び、ポータルサイトに誤掲載していた事案が判明しましたので、下記のとおりお知らせします。

1　事案の概要

○4月5日（金曜日）に、閲覧請求者が県民生活課内においてNPO法人（1法人）の書類を閲覧していたところ、一部の役員名簿における役員の住所が黒塗りされておらず、閲覧できる状況になっていた。

○当該事案を受け、4月6日（土曜日）から4月8日（月曜日）にかけて、過去の閲覧記録及びポータルサイトに掲載している事業報告書等を確認したところ、他の法人においても、非公開とすべき個人の住所について、誤って公開していたことが判明した。

※令和2年の特定非営利活動促進法の改正に伴い、令和3年6月9日以降、閲覧・公表の対象から個人の住所を除外することとされている。

2　漏えいのあった個人情報（58法人・387名）

（1）閲覧に供したもの

事業報告書等に記載された役員等の住所

法人数	対象者数	発生日	発覚日
58法人	387名	令和3年8月25日から令和6年4月5日	令和6年4月5日から令和6年4月8日

（2）ポータルサイトに掲載したもの

平成30年度、31年度及び令和2年度事業報告書等における財産目録に記載された法人理事長の住所

法人数	対象者数	誤掲載期間	発覚日
1法人	1名	令和3年6月9日から令和6年4月7日	令和6年4月7日

※（1）で漏えいした個人情報と重複

3　発生原因

閲覧用書類の作成やポータルサイトへの掲載について、担当者のみで行っていたため、チェック体制が不十分であった。

4　県の対応

（1）個人情報が流出したNPO法人等への対応

○4月11日（木曜日）までに全58法人に電話連絡を行い、52法人に謝罪し、事態の概要等を説明した。

○連絡が取れなかった法人及び個人情報が漏えいした本人には、今後、文書により謝罪し、事態の概要等を通知する。

○ポータルサイトに誤掲載していた文書は、事案が判明した4月7日（日曜日）に掲載を取り下げ、後日、個人情報を除いて再度掲載した。

（2）再発防止の措置

○閲覧に供する全法人の関係書類を再確認し、非公開とすべき事項が閲覧できないよう措置を講ずる。

○閲覧用書類の作成やポータルサイトへの掲載について、複数職員で確認を行うなど、事務処理手順を見直し、チェック体制を強化・徹底する。

リリース文（アーカイブ）