日野市立図書館　市立図書館におけるコンピュータウィルス感染について（第一報） 2022年12月19日

令和4年12月17日に、図書館の一部の業務用ファイルサーバ等がコンピュータウィルスのランサムウェアに感染したことが判明いたしました。現在、原因究明と被害範囲の特定を進めています。貸出システム等大部分のシステムは被害を受けていないため、図書館は通常通り開館しています。

1.　　　被害の概要

（1）　感染した機器

　　①　中央図書館事務室内のノート端末1台

　　②　中央図書館内に設置しているサーバ5台

（2）　ファイルサーバ内に格納されているデータが暗号化されて開けない状態。その中に個人情報（図書館主催のイベントの参加者、障害者サービスの利用者・ボランティアの名簿等）があることを確認しています。なお、現時点で情報の流出は確認されていません。

2.　　　対応について

（1）　感染した機器はネットワークから遮断しました。

（2）　貸出システム等大部分のシステムは被害を受けていないため、一部サービスを中止した上で、図書館は通常通り開館しています。中止するサービスは以下のとおりです。

　　　　・利用者用インターネット公開端末

　　　　・オンラインデータベース端末

　　　　・集会施設の新規利用申込　※対象施設は以下のとおり

　　　　　　　・中央図書館：集会室・ギャラリー

　　　　　　　・高幡図書館：読書会室・おはなしの部屋・対面朗読室・ギャラリー

　　　　　　　・百草図書館：談話室・ギャラリー

　　　　・障がい者向けサービス（一部）※詳細は障がい者向けサービス担当者にお問い合わせください

（3）本日、関係部署で構成する対策委員会を設置し、対応を開始しました。委託事業者や関係機関等の協力も得ながら、原因の究明や被害範囲の特定等を進めてまいります。

リリース文（アーカイブ）

【THM】Intro to Offensive Security

Task 1 Hacking your first machine

サイバーセキュリティのキャリアやオフェンシブセキュリティとは何かという話に入る前に、ハッキングをしてみましょう（ちなみにこれは犯罪ではありません。すべての演習は専用空間によるシミュレーションです）。

大まかな流れとして、「Start Machine」ボタンをクリックし、仮想マシンを起動します。

このマシンは、FakeBank という偽の銀行アプリケーションをハックするために使用します。次に「GoBuster」というコマンドラインアプリケーションを使って、FakeBankのウェブサイトをブルートフォースし、隠されたディレクトリやページを探します。GoBusterは、ページ名やディレクトリ名の候補をリストアップし、それぞれを持つWebサイトにアクセスしてみます。

ステップ1）ターミナルを開く

ターミナルは、コマンドラインとも呼ばれ、グラフィカルユーザーインターフェースを使用せずにコンピュータと対話することができます。マシン上で、ターミナルを開いてください。

ステップ2) 隠されたWebサイトのページを探す

ほとんどの企業では、管理者用のポータルサイトが用意されており、従業員は日々の業務に必要な基本的な管理操作にアクセスすることができます。例えば、銀行の場合、従業員は顧客の口座にお金を振り込んだり、口座からお金を引き出したりする必要があるかもしれません。多くの場合、これらのページは非公開になっており、攻撃者は、管理者コントロールや機密データを表示したり、アクセスを許可したりする隠されたページを見つけることができます。

GoBuster（コマンドラインのセキュリティアプリケーション）を使用して、FakeBankのWebサイトで潜在的に隠されたページを見つけるためのコマンドを実行します。

上記のコマンドでは、-uはスキャンするウェブサイトを示すために使用され、-wは隠されたページを見つけるために反復する単語のリストを指定します。

GoBusterがリスト内の各単語でウェブサイトをスキャンし、サイト上に存在するページを見つけることがわかります。GoBusterは見つけたページをページ/ディレクトリ名のリストで教えてくれているはずです（Status: 200で示されます）。

ステップ3）FakeBankをハッキングする

ステップ2で見つけた、/bank-transferにアクセスします。

このページでは、攻撃者が任意の銀行口座からお金を盗むことができ、銀行にとって重大なリスクとなります。倫理的なハッカーとして、あなたは（許可を得て）そのアプリケーションの脆弱性を見つけ、ハッカーに悪用される前に修正するように銀行に報告するでしょう。

送金してみます。口座番号2276から2000ドルをあなたの口座（口座番号8881）に振り込んでみます。

送金完了後、FakeBankのトップに戻ると、Questionの回答が現れる。

Task 2 What is Offensive Security?

攻撃的なセキュリティとは、コンピュータシステムに侵入し、ソフトウェアのバグを利用し、アプリケーションの抜け道を見つけて不正アクセスを行うことです。

ハッカーに勝つためには、サイバー犯罪者よりも先に脆弱性を見つけてパッチを勧めるなど、ハッカーのように振る舞う必要があるのです。

一方、防御的なセキュリティもあります。これは、潜在的なデジタル脅威を分析し、保護することによって、組織のネットワークとコンピュータシステムを保護するプロセスです。

防御的なサイバー対策では、感染したコンピューターやデバイスを調査してハッキングされた方法を理解したり、サイバー犯罪者を追跡したり、悪意のあるアクティビティがないかインフラを監視したりすることができます。

※Question無し

Task 3 Careers in cyber security

どのように学習を始めればよいのでしょうか？

よく、他の人はどうやってハッカー（セキュリティコンサルタント）やディフェンダー（サイバー犯罪と戦うセキュリティアナリスト）になるのだろうと不思議がられますが、その答えは簡単です。サイバーセキュリティの興味のある分野を学び、定期的に実践的な練習をすることです。TryHackMeで毎日少しずつ学習する習慣をつければ、この業界で初めて仕事をするための知識を身につけることができます。

・建設作業員からセキュリティエンジニアになったポールの話

・音楽教師からセキュリティの専門家になったカサンドラの話

どんなキャリアがあるの？

ここでは、いくつかの攻撃的なセキュリティの役割について簡単に説明します。

・ペネトレーション・テスター：セキュリティの脆弱性を発見するためにテクノロジー製品をテストする役割を担います。

・レッド・チーム：敵対者の役割を演じ、組織を攻撃し、敵の視点からフィードバックを提供する。

セキュリティエンジニア：セキュリティコントロール、ネットワーク、システムの設計、監視、保守を行い、サイバー攻撃の防止に貢献する。

※Question無し

山形大学　不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び 2022年12月16日

このたび、本学で運用している研究室ホームページのサーバが、学外からの不正アクセスを受け、改ざん・不正プログラムが書き込まれるという事案が確認され、本学が保有する個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。

本学では、個人情報の保護に関する規程、情報セキュリティ対策基準等を定め、適切な管理に努めてまいりましたが、今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事態を重く受け止め、二度とこのような事態を招くことのないよう、再発防止に努めて参ります。

１．本件の経緯

令和4年10月26日（水）に外部機関より、本学が運営している研究室の外部公開ホームページ用サーバから迷惑メールが送信されている旨の通報がありました。本学が調査したところ、当該ホームページで使用しているコンテンツマネージメントシステムの管理者ID及びパスワードが詐取されたために、コンテンツマネージメントシステムに学外からの不正アクセスを受け、改ざん・不正プログラムが書き込まれるという事案が確認されました。

不正なプログラムは、当該サーバの仕様上、当該サーバ内の他のサイトの保存領域にもアクセス可能であり、当該サーバにある159サイトのうち、５つのサイトにおいて個人情報が保管されていることが判明しました。

２．漏洩の可能性のある個人情報

本学で使用していたアカウントや氏名等を含めた個人情報1,059人分

３．現在までの対応

発覚後直ちにネットワークを遮断しました。当該サーバ内において不正なユーザがないことを確認し、これまでのところ、個人情報を悪用された事実は確認されておりません。

個人情報が漏洩した可能性がある方に対して、事実関係の説明、謝罪、対応窓口の設置を行いました。

なお、個人情報を取り扱うサイトは、セキュリティが強化された別サーバに移行する等の対策を行い、運営を再開しております。

４．今後の対応

個人情報を収集・保存する目的で使用する本学のサイトについて点検・確認を実施します。

また、本学教職員・学生向けに、個人情報の漏洩が疑われる事案が発生した際の対応について改めて注意喚起を行うとともに、全教職員を対象とした情報セキュリティに関する研修を早急に実施します。

リリース文（アーカイブ）

熊本県立大学　メールアカウントの不正利用事案の発生について 2022年12月13日

本学名誉教授のメールアカウントが何者かに不正に利用され、メールシステムの情報が閲覧・取得された可能性を否定できない事案が発生いたしました。詳細は下記のとおりです。

なお、現在のところ、被害等の報告はありません。

1.事案の概要

12 月 7 日 16:30 頃、名誉教授から、出した覚えのないメールが多数返ってくると大学へ連絡。至急ログを確認したところ、名誉教授のメールアカウントから、6 日 23:30 頃から 7 日16:30 頃にかけて、不審な英文メールが 46 件送信され、1,230 件の送信をシステムがブロックしていたことが判明。
更に調査を行ったところ、8 月 30 日以降に約 1,000 件(うち半数は 12/6 以後に集中)の海外からのログインを検出。

２.漏えいした疑いのある情報の内容（計 5,288 人）

本学ユーザー（教職員、学生、名誉教授、公開講座等受講者計3,537人）の氏名・本学が付与したメールアドレス、ユーザーが自身のプロフィールに任意入力した部署・職場電話番号等の情報
名誉教授のアドレス帳の情報（登録件数 991 人：他大学、機関、企業等の関係者、個人の氏名・メールアドレス・所属先・部署・役職・電話番号等）
名誉教授のメールボックス内のメール内容、添付ファイル教員等の履歴書・略歴 43 人分：住所・氏名・生年月日・電話・メールアドレス・学歴・職歴・顔写真等人事資料 101 人分：氏名・生年月日・住所・最終学歴・現職位・教育歴・審査結果等研究室等の名簿 612 人分：氏名・住所・電話番号・メールアドレス・役職その他 4 人分：翻訳代金請求者の氏名・住所・口座番号等

3.原因

本学では二要素認証(※)を原則としているが、名誉教授においてはスマートフォン等を所持していないことから申し出により除外していたこと、名誉教授のパスワードとして数桁の簡単なものが使用されていたこと、メールアカウント・パスワードが他のサイトで使用されていたことが重なったためと考えられる。
※メールアカウント・パスワードの入力及び SMS か電話で確認コードを提示

４.これまでに行った対応

当該アカウントのパスワードを変更し、不審メール発信停止を確認
本学ユーザーにメールで報告、注意喚起
名誉教授からアドレス帳登録先にメールでお詫び、報告、注意喚起
名誉教授による端末のウイルススキャン
名誉教授のメール内情報の精査
Microsoft に相談、確認
関係者への謝罪通知（継続中）
警察への相談
大学ＨＰへの掲載
相談窓口の設置

リリース文（アーカイブ）

株式会社チンクエクラシコ　弊社が運営する「Cinq essentiel」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年12月13日

このたび、弊社が運営する「Cinq essentiel」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（873件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年8月22日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月24日弊社が運営する「Cinq essentiel」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年11月17日、調査機関による調査が完了し、2019年8月22日～2022年8月4日の期間に　「Cinq essentiel」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「Cinq essentiel」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ファイルの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2019年8月22日～2022年8月4日の期間中に「Cinq essentiel」においてクレジットカード決済をされたお客様873名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・ID(Eメールアドレス)/パスワード

・データベース内の顧客情報(会員登録時に記入した氏名・住所・電話番号)

上記に該当する873名のお客様については、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年8月22日の漏洩懸発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

また、弊社が運営する「Cinq essentiel」は2022年8月5日にサイトをリニューアルしており、漏洩が生じましたシステムはすでに運用はしておりません。

改修後の「Cinq essentiel」のクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年10月13日に報告済みであり、また、所轄警察署にも2022年11月18日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

永久不滅ポイント、JALマイル交換でレートアップ（2022年12月1日～2022年12月31日）

日本航空（JAL）は、永久不滅ポイントからJALマイレージバンクのマイルへの交換で、通常より交換レートをアップする「マイル20％レートアップキャンペーン」を、12月1日から31日まで実施している。

200ポイント1口で通常500マイルのところ、1口ごとにボーナスマイル100マイルをプレゼントする。キャンペーンへのエントリーが必要となる。通常分のマイルは、ポイント交換手続き後、3週間から4週間で口座に反映される。ボーナスマイルの積算は2023年3月中を予定している。

出典：JAL、永久不滅ポイントからのマイル交換でレートアップ中　通常より20％増、12月末まで

週刊OSINT 2022-42号

今号は運用セキュリティ、グーグル検索、チートシート、便利なヒントなどを紹介します。

Naval Opsec
Let's Geolocate
Bookmarklet
Chinese Propaganda
Geotargeted Google Search
YouTube Handles
Geolocation Cheat Sheet

ニュース: Naval OpSec

Steven 'nixintel' Harrisは、Marsattaqueblogが発信した、演習中にフランスのフリゲート艦が文字通り「レーダーから外れた」状態で撃沈されたという話をシェアしました。2021年11月21日から12月3日まで、合計23隻の艦船、1隻の潜水艦、65機の航空機が海上演習に乗り出しました。無線や衛星通信がすべて妨害されていたため、無線での接触は一切なかったにもかかわらず（出典）、レッドチームはSnapchatで見つけた位置情報だけでブルーフリゲート艦の1隻を撃沈してしまったのだ。青いフリゲート艦は岸に近い場所にあり、4Gマストの届く範囲にあったので、Snapchatに接続することができました。アクティブなアカウントを発見した後、精密な打撃が不可能だったため、14発のミサイルによる模擬攻撃が指示されました。OpSecが悪いと壊滅的な影響を与えるというもう一つの例です。

Media: Let's Geolocate

Benjamin Strickは、彼自身の言葉によると、より軽快なコンテンツを作るのに忙しくしているそうです。そして、特に毎日のニュースを賑わせている世界の紛争を考えると、それは素晴らしいことだと言えるでしょう。そして、皆さんも同じように行動することをお勧めします。例えば、彼が世界中の大きな芸術作品をジオロケーションしていくこのビデオに参加することができます。ベンのもう一つの素晴らしいビデオは、いくつかの場所は非常に簡単に見つけることができたにもかかわらず、彼の思考過程を洞察することができます。ベンがどのように利用可能なすべての情報を使って、ひとつひとつの問題を解決していくのか、ご注目ください。

ツール: Bookmarklet

TwitterユーザーのOSINT_Tacticalは、ソーシャルメディアの範囲内でユーザー名を素早く検索できるブックマークレットを作成しました。実際に結果を表示するタブをたくさん開くので、これはあまり好きではないのですが、これはいくつかの問題を引き起こすかもしれません。FirefoxとBraveはデフォルトで1つのタブを開くだけで、Chrome内では空白のページから実行できないようで、動作する前にブラウザで複数のタブを開くように明示的にOKを出す必要があります。というのも、これは可能性のあるリードを素早く見つけるための、もう一つの簡単で迅速なヒントだからです。

ニュース: Chinese Propaganda

ファーガス・ライアン氏と彼の同僚は、ウイグル出身の2人の少女が登場する中国のプロパガンダを調べました。このTwitterのスレッドでは、彼らが見つけた、これらのビデオといわゆる「情報局」とを結びつける情報を取り上げています。このスレッドは、情報キャンペーンが特定の物語を広めるためにどのように利用されているか、そして、時には、それが簡単に引き離されることを示す、興味深いものです。ルーさん、ありがとうございました。

サイト: Geotargeted Google Search

Henk van Essから、Google検索の「ジオターゲティング」の新しい方法についての情報が届きました。数年前からiSearchFromを使っているのですが、この便利なサイトは、検索時に特定の場所をターゲットにすることができるのです。ニュースを検索するとき、Googleは時々、地元のニュースアイテムを表示しますが、非常に特定の地域をターゲットにできるこの機能は、非常に便利かもしれません。このヒントのすぐ後に、「Einat FB」という方から、「U Search From」という別のサイトがあり、そちらは私が使っていたものより改良された良いツールだというヒントをいただきました。これらのヒントに感謝します。

小技: YouTube Handles

ここ数日、YouTubeの新しい機能である「YouTubeハンドル」について、複数のメールを受け取りました。クリエイターは、ハンドルネームを登録することで、次のようなリンクを生成することができます。

https://www.youtube.com/@redbull

現在、このページはHTTPコード「303」を返送し、ブラウザを別のURLにリダイレクトしています。この例では、https://www.youtube.com/user/redbull にリダイレクトされます。YouTubeのブログによると、すでにカスタムチャンネルURLを設定している人は、同じ名前がハンドルネームとして予約され、新しいカスタムチャンネルURLを作成するオプションは今のところ停止しているとのこと。今後どうなるかはわかりませんが、このニュースを受けて多くのユーチューバーが自分のハンドルネームを主張すれば、さらに見つけやすくなるかもしれませんね。

チュートリアル: Geolocation Cheat Sheet

もしあなたがジオロケーションの初心者で、まだ手がかりを見つけるのに苦労しているなら、これはあなたにとって素晴らしいカンニングペーパーになるかもしれません。SEINTは、写真に写っているたくさんのものを集めた大きなマインドマップを作成し、あなたの道のりを助けてくれるでしょう。これは現在進行中で、彼がさらに多くのアイテムを見つけたら更新される予定ですが、すでに印象的です。これはあくまでチートシートとして使用し、画像やビデオを分析する際には、常に自分自身のアイデアも出すことを忘れないでください。このマインドマップのPNG版とPDF版は、SEINTのGitHubで見ることができます。

オマケ: Spooky Logic

38mo1が作成した、ハロウィンの時期に登場する素晴らしいマニアックなジョークで、古典的な「論理ゲート」をいくつか含んでいます。OSINTコミュニティでは、革新的な検索クエリを作成するときに使用するのと同じブール代数を基礎としているので、このうちのいくつかは知られていることだろう。しかし、電気技術者にとっては、これは既知の領域なのです。OSINT Amyさん、教えてくれてありがとうございます。

出典：Week in OSINT #2022-42

BIPROGY 株式会社　第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ　2022年12月12日

当社は、2022 年 7 月 1 日付「USB メモリー紛失事案に関する第三者委員会の設置について」にて公表しましたとおり、当社協力会社社員による兵庫県尼崎市における個人情報を含む USB メモリーの紛失事故を受け、同日に外部の専門家から構成される第三者委員会を設置し、調査を行って参りました。

本日、第三者委員会より、調査の結果判明した事実関係及び問題点の指摘、再発防止のための提言を目的とする調査報告書を受領いたしましたので、下記のとおりお知らせいたします。

当社は、この度の事態を招いたことを真摯に受け止め、改めて深くお詫び申し上げますとともに、第三者委員会の調査結果及び提言を踏まえ、再発防止策等を検討してまいります。また、分析・検討の結果、公表すべき事項がある場合には、適時適切に開示いたします。

当社は、株主や投資家をはじめとするステークホルダーの皆さまからの信頼回復に向け、全社を挙げて全力を尽くしてまいる所存でございますので、引き続き、ご支援を賜りたくお願い申し上げます。

１．調査結果について

第三者委員会の調査結果につきましては、添付資料「調査報告書（公表版）」をご覧ください。

なお、添付資料においては、個人情報保護の必要上、取引先及び社内外の個人名について一部を除き匿名としておりますことをご了承ください。

２．再発防止策について

当社は本件の発生を受けて、下記のような再発防止策を検討・実施して参りました（以下は一例でありこれらに限りません）。

(1) 組織的安全管理措置について

　①機密性が高い顧客情報資産へアクセスするプロジェクトへの安全管理措置

プロジェクトを担当する組織内で組織長が週次でその運用に対する安全管理措置を点検。
顧客機密情報（個人情報含む）の取扱いに責任を持つ役職者による指導・確認の下、安全管理措置を策定・明確化。
新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を客観的に審査・承認し網羅的に管理・モニタリングする仕組み・体制の整備。

　②社内規程及びビジネスプロセスの改定

可搬メディアの取扱いルール強化、顧客機密情報と顧客本番環境アクセスのルール強化、サービスビジネスにおいて顧客本番環境にアクセスする際のルール新設等を内容とする社内規程の改定。
その他、稟議決裁規程、情報サービス・ビジネスプロセス、アウトソーシングビジネスなどのビジネスプロセス関連規程を改定。

　③教育及び指導

セキュリティリスクの理解と個人情報を含む顧客機密情報の取り扱いルール再徹底のためのセキュリティ教育（e ラーニング）を当社グループ全役職員に対して実施。
情報セキュリティ遵守事項に係るプロジェクトチーム内への周知や協力企業向け情報セキュリティ教育の実施状況を確認。

(2) 物理的・技術的安全管理措置について

　①尼崎市様からの受託業務に関する物理的・技術的安全管理措置

本番環境にアクセスする作業時は本番サーバルームで尼崎市様ご担当者立合いのもと実施するとともに、可搬メディアを使用する場合のルールを明確化するなど、情報セキュリティに関するルールの明確化。

　②全社的な物理的・技術的安全管理措置

利用中の可搬メディアの必要性の見直しと、継続利用する場合は社内規程通り管理されていることを管理簿などの証跡ベースで報告することを徹底。

(3) 委託先管理について

　①情報セキュリティ

安全管理措置及び個人情報の取扱いに責任を持つ役職者による教育及び指導等によって、委託先監督に関する法令・当社規程の遵守を徹底。
顧客機密情報（個人情報を含む）の取扱いを協力企業に委託する場合も、新たに設置したセキュリティ専門組織にて安全管理措置を審査・承認し、その実施状況をセキュリティ専門組織がモニタリング。
形骸化を防止するため、情報セキュリティ内部監査において上記運用状況を監査予定。

　②管理プロセス見直し等

委託先管理を図る責任者を新たに設置。また、委託先管理プロセスを見直し、当社とお客様との契約条件に従って当社から協力会社への委託がなされていることを確認できるエビデンス管理や、運用が適切に行われていることを週次レベルでモニタリング。
当社全役職員に関する再教育と指導の徹底、及び委託先に対する契約ルール、再委託留意事項に関するトレーニングプログラムの提供
顧客との契約条項に適合した開発（再委託）の場合のみ発注可能となるよう、契約・発注管理システムに契約条項で定められた条件を登録させ、発注の可否を機械的に判断できるようにする修正を加える。
委託先との契約書内容を変更し、①契約に違反した場合の違約金条項、②当社の判断で、当社からの二次委託先以降に対する再委託を中止するように要求することを可能とする条項を追加する。
委託先管理の実効性を確保するため、委託先管理に対する運用状況を監査予定。

当社は、上記の他にも、第三者委員会の調査結果を真摯に受け止め、再発防止策の提言に沿って具体的な再発防止策を策定し、引き続き着実に実行してまいります。

リリース文（バックアップ）

全文表示 / Read more »

登録: 投稿 (Atom)