【セキュリティ事件簿#2023-024】東京都 個人情報の漏えいについて(メールアドレスの流出) 2023年01月11日


生活文化スポーツ局において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日

令和5年1月10日(火曜日)

(2)漏洩した個人情報

受講者1名のメールアドレス1件

(3)事故の概要

1月18日に開催する再犯防止に関する研修会について、申込者に受講案内のメールを送信するところ、誤ってメールの件名に受講者1名のメールアドレスを記載して送信

2 経緯

  • 1月10日(火曜日)11時58分
    再犯防止に関する研修会の申込者(124名)に対し、受講可能となった旨の案内をメールで一斉送信
  • 直後に送信メールの件名に申込者1名のメールアドレスが記載されていることが判明
  • 同日 14時1分
    送信先の申込者にメールの削除依頼のメールを送信
  • 同日 14時35分
    流出したメールアドレスの所有者に管理職が電話で謝罪
  • 現在のところ、二次被害等の報告はされていません。
3 発生原因と再発防止策

本件は、送信前のダブルチェックを行っていたものの、最終的に件名にメールアドレスが記載されていたことを見落としていたことが原因です。

今後は本事案を関係部署に周知するとともに、メールの件名も含めて適正にダブルチェックを徹底するなどして再発防止を図ってまいります。また、局職員全員に改めて注意喚起を行い、全部署において再発防止に向けて万全を期してまいります。


【セキュリティ事件簿#2023-023】国土交通省 個人情報の流出の可能性に関するお詫びとお知らせ 2023年1月13日


九州地方整備局 鹿児島国道事務所発注の地下水調査業務(受注者:八千代エンジニヤリング(株)九州支店)において、業務従事者が発注者から貸与された調査に必要な個人情報を含む資料を紛失するという事案が発生しました。

紛失した資料には個人47名の住所、氏名等が記載されていることを確認しています。

関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。

○事案の内容
 令和5 年1 月12 日(木)に地下水調査業務受注者の従事者が、発注者から貸与中の資料を紛失していることに気づき、捜索するとともに、警察への遺失物届を提出いたしましたが、未だ発見されていません。

○対応状況
 個人情報の記載のある皆様に対しては、業務受注者より事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等
第三者への流出、不正利用等の事実、二次被害は確認されておりません。

○今後の対応
 今後、このような事態が生じないよう、個人情報等の管理の細心の注意について受注者へ指導徹底することで、再発防止に万全を期してまいります。

【セキュリティ事件簿#2023-022】株式会社アダストリア 当社サーバーへの不正アクセス発生について 2023年1月19日


当社は、2023年1月18日、当社が管理運用するサーバーが第三者による不正アクセスを受けたことを確認しました。当該事象の確認後、被害拡大を防ぐためにネットワークの遮断などの対応をただちに実施するとともに、関係機関への報告を行いました。

なお、現時点でお客さま、従業員、お取引先の情報流出は確認されておりません。物流システムを停止しているため、WEBストア「ドットエスティ」は現在休止しております。
現在、外部の専門機関と連携し、影響範囲の特定、原因や経路の調査、復旧作業等の対応を進めておりますが、復旧までには今しばらくの時間を要する見込みです。

今後、公表すべき重要な事項が発生・判明した場合には、速やかに当社コーポレートサイト等でお知らせいたします。
関係各位には多大なるご迷惑及びご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-021】株式会社北関東マツダ 個人情報流出に関するお詫びとお知らせ 2023年1月19日


本年1月14日、弊社がお客様情報を含む個人情報の管理等を委託する委託先のサーバーが第三者からの不正アクセスを受け、サーバーに保存されていた個人情報のうち、少なくとも50,000件程度が流出した可能性があることが判明いたしました。

現在、鋭意調査を続けておりますが、現時点で確認できた、不正アクセスにより外部に流出した可能性がある情報は以下のとおりです。

  1. 弊社メーリングリストの会員登録情報(2009年12月から2014年9月にご登録いただいたもの)
    氏名、メールアドレス、担当店舗

  2. 弊社中古車情報サイト「U-Car OnLine」へのお問い合わせデータ
    氏名、メールアドレス、問合せ店舗、電話番号

  3. 弊社従業員採用アカウント(LINE)への登録データ
    氏名、経歴、LINEユーザーネーム

  4. 弊社車検予約システムにおけるご登録データ
    氏名(姓のみを含む)、誕生月、電話番号、担当店舗、車種等

  5. 弊社主催展示イベント及び試乗キャンペーン等における登録データ
    氏名、電話番号、メールアドレス、年齢、職業等

なお、いずれもクレジットカードや銀行口座に関する情報は含まれておりません。

お客様及び関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

現時点において、一部のお客様及び関係者の皆様宛てには、本年1月14日から15日にかけて、弊社ウェブサイトをハッキングしたとのメールが送信されていたことが確認できております。
万が一、このようなメールをはじめとした不審なメールを受信されましたら、本文中のURLをクリックなさらず、速やかに当該メールを削除いただきますようお願い申し上げます。

本件につきましては、警察への届出を行ったほか、外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認および適切な対応に務めております。
また、弊社は今回の事態を重く受け止め、外部セキュリティ専門家によるセキュリティ体制の改善、全てのウェブサイト及びネットワークに対する監視体制強化など、再発防止に全力で取り組んでまいります。

この度は皆さまに多大なご迷惑ご心配をお掛けしておりますこと、改めて深くお詫び申し上げます。

個人情報が流出した可能性のあるお客様及び関係者の皆様には、電子メールその他の手段により、お詫びとお知らせを個別にご連絡申し上げます。

【セキュリティ事件簿#2022】ならコープ 重大なシステムトラブルに伴う個人情報についてのお知らせ 2023年1月18日


2022年10月9日 (日) に発生した重大なレステムトラブルにより、皆さまには多大なる迷惑をおかけしましたこと、深くお詫び申し上げます。

この間、『あをがき臨時号』等で経緯を皆様にお知らせしてまいりましたが、今回あちらためてのご報告となります、トラブル発生後、現在も外部専門機関による個人情報漏えいの事実確認を継続しておりますが。現時点では漏えいの事実や不正利用の事実は確認されておりません。今後も引き続き監視を実施してまいります。

なお。法律の専門家および外部専門機関等との協議の結果、個人情報漏えいの可能性を完全には否定できないことから。個人情報保護法の法令に基づき、ご本人様にお知らせいたします。 

1 概要
①システムトラブル発生の経緯について

2022年10月9日(日)早朝、システムトラブルが発生し原因を調べたところ、当組合の基幹システムサーバを始めとする複数のシステム機器が不明の第三者からのサイバー攻撃を受け、セキュリティソフトがネットワークを遮断したことが判明しました。
当組合では直ちに対策本部を立ち上げるとともに、さらなる被害の拡大を防ぐために外部ネットワータを遮断し、外部専門機関の協力のもとでサイバー攻撃による被害範囲や状況、原因等の調査、復旧の検討を開始いたしました。

②調査の結果について

初期調査段階で、当組合の複数のサーへの不正な侵入と内部のほとんどのデータが暗号化されていることを確認いたしました。
暗号化されたデータには当組合の組合員情報が含まれでいることがわかりました。不確定な情報による混乱を避けるため、慎重に調査することといたしました。

その計、個人情報漏えいの事実について外部専門機関による調査をすすめてまいりましたが、現時点では個人情報の漏えいは確認されておりません。

これまで、当組合として事実確認に努めてまいりましたが、調査に時間を要しましたことをお詫び申し上げます。

③現在の対応について
個人情報保護委員会への報告、所轄警察署への届出は完了しております。 また、外部専門機関の協力のもと、再発防止のためのセキュリティ対策強化を図るとともに、情報ネットワークの再構築を進めております。

2.個人情報の対象範囲と対応について
①対象範囲:2032年10月8日 (土) までに加入された方(脱退済みの方含む) 489,085人です。

②個人情報 : 組合員番号、氏名、住所、電話番号、生年月日、性別、メールアレス、引落口座番号、購入履歴、出資金情報
 ※クレジットカード情報は含まれておりません

③対象者への対応 : 住所が判明している方には1月23日 (月) から順次郵送でのご連絡を予定しております。また、住所不明の方や郵送物が不着の方への対応としてお知らせを掲載しております。

3.今後の対策と再発防止

当組合では今回の事能を重く受けとめ、再発防止策の強化として、①未知のウイルス感染の防止、②多要素認証と接続限定によるVPNへの不正侵入防止、③LANへの不正接続の防止、④EDRによるウイルス検知・除去、⑥バックアップの保護など、これまで以上に更なる対策を行います。また、最新の情報セキュリティの知見を入手し、継続的にその維持・向上に努めるとともに、情報セキュリティポリシーをはじめ関連規定の刷新と職員の教育訓練をすすめてまいります。

この度は、皆さまへ多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。


【セキュリティ事件簿#2023-020】こうのす共生病院  病院内の音声が生配信されていた件に関するご報告 2023年1月16日


2023年1月7日午後に発生した「病院内音声がスマートフォンのアプリから配信されていた件」についてご報告させていただきます。 

先日ご報告させていただいた通り、本件は当院医師がプライベートで使用するスマートフォンのアプリを介して、当院での救急外来診察や発熱外来等の診察時の音声(会話)の一部が配信され、不特定多数の同アプリの利用者において聴取可能な状態下に置かれてしまったというものです。 

実際に配信されていた音声データを確認したところ、配信時間は同日13時19分から14時56分までの計1時間37分間でした。音声の内容は、当院での救急外来診察や発熱外来の診察時の会話等であり、計8名の患者様の氏名(うち1名は生年月日含む)などの個人情報が含まれておりました。 

音声データを流出させた医師は、聞き取り調査に対し、「休憩時間中に私用のスマートフォンの動画配信アプリを起動したまま眠ってしまった。救急車の受け入れ要請の病院内線電話で目が覚めたが、アプリが起動中であることに気づかず、そのスマートフォンをポケットに入れた状態で診察を行ったため、誤って診察時の会話音声が配信されてしまった。」と説明し、また、「個人情報の流出という重大な結果を生じさせたことを深く反省している。」と述べております。 

調査結果によれば、当該医師が意図的に音声情報を流出させたと断定することは困難ではあるものの、患者様の個人情報の流出という極めて深刻な結果が生じている以上、当該医師の過失責任は重大であるというほかありません。そのため、当該医師に対して昨日2023年1月15日付で出勤停止2か月間の懲戒処分と致しました。なお、当該医師は、本件の責任をとりたいとして同日付けで依願退職しました。 

本件で個人情報が流出してしまった計8名の方々には、当法人から個別に謝罪させていただきましたが、この場を借りて改めて深くお詫び申し上げます。 

また日頃から当院をご利用される患者様、ご家族様、また関係者の方々、そして地域住民の方々に対して、多大なご心配とご迷惑をおかけしましたことを重ねて深くお詫び申し上げます。 

改めて院内の就業規則を周知し、再発防止策を共有し徹底させていただきます。 

どうぞ今後ともご指導・ご鞭撻のほどよろしくお願いします。 


【セキュリティ事件簿#2023-019】産経新聞社 メールアドレス漏洩のお詫び 2023年1月10日


大阪国際女子マラソン事務局より本大会にエントリーした競技者の一部にメールを送信した際、受信者が他の競技者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは168件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。同マラソンは、産経新聞社などが主催(事務局=産経新聞社)し、1月29日に開催予定です。

1:経緯
2023年1月4日午後7時10分ごろ、大会事務局より、エントリーした競技者のうち、1月4日正午までに「応援のぼり隊」への参加可否の回答を寄せていない方168人に対し、5日中までに回答いただくよう求めるメール(件名:【第42回大阪国際女子マラソン】にエントリーいただいた皆様へ)を一斉送信しました。この際、本来であれば受信者のアドレスが他の受信者に表示されない「BCC」で送るべきところ、事務局担当者が操作を誤り、「宛先(To)」に入力して送信してしまいました。この結果、168人の競技者(メール受信者)は、相互にメールアドレスが確認できる状態になりました。

2:流出した情報
本大会にエントリーした競技者168人のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

3:受信者様への対応
本件メールを受信した168人には、1月6日午後8時20分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

4:再発防止策
一斉送信時には複数人によるチェックを必須とすることで、再発を防止します。

【セキュリティ事件簿#2023-016】北ガスジェネックス株式会社 お客さま情報漏えいの可能性に関するお詫びとお知らせ 2023年1月13日


弊社が灯油配送業務を委託しております北斗興業株式会社(社長:髙田宏永、本社:北斗市)において、お客さま情報が漏えいした可能性があることが判明しました。

お客さまには、多大なるご迷惑、ご心配をおかけすることを深くお詫び申し上げます。

弊社では、今回の事態を重く受け止め、再発防止に向け、委託先の管理を含めた、より一層の管理体制の強化に努めてまいりますので、何とぞご容赦の程よろしくお願い申し上げます。

なお、現時点で、お客さま情報が不正に利用された等の連絡や問い合わせはございませんが、今後、不審な連絡などがござましたら、下記問い合わせ先までご連絡いただきますようよろしくお願いいたします。

1.概要

弊社が灯油配送業務を委託している北斗興業におきまして、ネットワークを共有している会社のサーバーに不正アクセスのあったことが確認されました。さらに当該サーバーとネットワーク共有していた北斗興業のサーバーへの不正アクセスがあり、弊社が北斗興業に灯油配送業務を委託しているお客さま情報が漏えいした可能性のあることが判明いたしました。

2.経緯

・2022年12月6日(火)

北斗興業がネットワーク共有をしていた会社において自社サーバーの不正アクセスを確認。その後の調査により、ネットワークを通じてお客さま情報への不正アクセスが判明。

・2023年1月12日(木)

北斗興業より、弊社に本件の報告があり、お客さま情報の漏えいの可能性が判明。

3.漏えいの可能性があるお客さま情報

・対象 : 2020年2月以前に、弊社が北斗興業に灯油配送業務を委託しているお客さま情報(函館地区)

・項目 : 氏名、住所、電話番号

・件数 : 88件

なお、北斗興業より、現時点でお客さま情報の漏えいの事実は確認されていないとの報告を受けております。