【セキュリティ事件簿#2023-042】兵庫県立がんセンター 個人情報が含まれたUSBメモリの紛失に関する お詫びとご報告 2023年1月31日


このたび、当院の医師が学会で発表する資料作成のために必要な患者様の医療情報を保存したUSBメモリ1個を紛失しました。

患者様には多大なるご心配とご迷惑をおかけすることになり、また事実確認と再発防止の検討に時間を要し、ご報告が遅れましたことを深くお詫び申し上げます。

なお、今のところ、情報漏洩等の事実は確認されていません。

1 紛失したUSBの内容

電子カルテから保存した55名分の患者ID、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。

2 経緯

USBメモリは、医師自身が管理しており、令和5年1月5日(木)に使用したことは確認しています。1月 13 日(金)に、USBメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で1週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。
このため、1月 27 日(金)に明石警察署へ遺失届を提出いたしました。

3 該当する患者さんへの対応

USBメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を1月 27 日(金)に郵送させていただきました。
また、電話もしくは対面でのご説明もさせていただいております。

4 再発防止に向けた今後の取り組み

電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたUSBメモリを使用することとし、USBメモリの使用が終わった後は、データを消去し、システム管理室にUSBメモリを返却することにします。システム管理室は返却のあったUSBメモリのデータ消去を確認します。

また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。

5 その他

引き続きUSBメモリの捜索に尽力します。

【セキュリティ事件簿#2023-041】近畿大学病院 近畿大学病院で発生した診療情報の流出事案について 2023年2月2日

 

この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員(当時、以下 元社員A)が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。

元社員Aは、業務中に友人である患者B氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。

当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。

1.事案の概要

令和4年(2022年)11月5日、受付業務委託先の元社員Aが、当院を受診した患者B氏の診療情報(氏名、生年月日、診察記録)記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員A、患者B氏、友人C氏はいずれも友人関係にあり、患者B氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。

その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Aが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Aが自身の家族1名と友人E氏に、友人C氏が友人F氏・G氏に、それぞれ患者B氏の受診について話をしたことも判明しました。

2.対応

令和4年(2022年)11月15日に、当院より患者B氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。

元社員Aと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。

株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年(2023年)3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Aについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。

また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。

3.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります

①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。

②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。(11月14日~11月16日)

③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。(11月28日~12月26日)

④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。

近畿大学病院リリース文アーカイブ

株式会社エヌジェーシーリリース文アーカイブ

【セキュリティ事件簿#2023-040】尼崎市職員、泥酔して公用スマホ紛失。USBメモリ事件を恐れて虚偽報告し処分を受ける ~バッドニュースファーストは重要だが難しい~


兵庫県尼崎市は2023年1月27日、個人情報を含む公用スマートフォンを紛失し、虚偽の報告をしたとして、武庫地域課の男性職員を減給10分の1(1カ月)の懲戒処分にしたと発表した。スマホには市民の電話番号17件とLINE(ライン)の連絡先48人分などが登録されていたが、情報漏えいは確認されていないという。

市によると、職員は2022年12月1日夜、同僚らと飲食し、泥酔して午後11時半ごろタクシーに乗せられた。その後、職員の記憶はなく、帰宅途中に公用スマホを財布や免許証とともに紛失した。

職員は5日に尼崎南署に遺失物届を出していたが、上司には12日に「8日に紛失に気づき、12日に遺失物届を出した」と虚偽の説明をした。15日、職員の自宅近くで、別の職員がスマホを見つけた。遺失物届を取り下げたが、報告に不自然な点があり、同市で聞き取り調査など行ったところ、事実とは異なる報告が行われていたことが明らかとなった。

市の内規で公用スマホの持ち出しは許可が必要だが、同課は年単位で許可していた。市では22年6月、全市民の個人情報が記録されたUSBメモリーを委託業者が泥酔して一時紛失した。職員は「USBメモリーの紛失が頭をよぎり、自分で探そうと思った」と話したという。

市は紛失と発見について発表していたが「重要な報告をせず、誤った事実を公表することになり市政への信用を損ねた。情報漏えいのリスクを高めた」ことを処分理由とした。

Microsoft Teams、再び障害(前回は2022年7月)~原因はオペミスか!?~


マイクロソフトは、2023年1月25日午後4時頃から最大で約5時間半に渡り、Microsoft AzureやMicrosoft 365、Microsoft Teamsなど幅広いサービスがほぼ全世界で利用できなくなっていた大規模障害について、予備的な報告書を公開しました。

まず原因について。同社のワイドエリアネットワークに対して行われた設定変更が全体に影響したと説明しています。

具体的には、設定変更のためにあるルーターにコマンドを送ったところ、そのルーターがWAN内のすべてのルーターに対して誤ったメッセージを送信。その結果、WAN内のすべてのルーターが再計算状態に突入し、適切にパケットを転送できなくなったことが原因とのこと。

問題の発端となったルーターは、マイクロソフトの認証プロセスで検証されていなかったことも付け加えられています。

同社としては、障害発生から約7分後に、DNSとWANに関する問題を検出し調査を開始。発生から1時間5分後にネットワークが自動的に回復し始め、ほぼ同じくして問題の引き金となった問題のあるコマンドが特定されたとのことです。

2時間後にはほぼすべてのネットワーク機器が回復したことが観測され、2時間半後にはネットワークが最終的に復帰したことが確認されたと報告されています。

ただしWAN自身が備えていた健全性維持システム、例えば健全でないデバイスを特定して削除するシステム、ネットワーク上のデータの流れを最適化するトラフィックエンジニアリングシステムなどがWAN自身の障害によって停止してしまっていたため、これを手動で再起動。

これによりWANを最適な動作状態に回復させるまでネットワークの一部でパケットの損失が増加し、約5時間時40分後にこれが完了したとのことです。

今後の対策として、影響度の高いコマンドの実行を遮断し、デバイス上でのコマンド実行は、安全な変更ガイドラインに従うことを義務付ける予定とのことです。


ランサムウェアギャングが発表した被害組織リスト(2023年1月版)BY DARKTRACER

 

Dark Tracerによると、2023年1月は日本企業3社がランサムウェアの被害にあっている模様。

  • 株式会社フジクラ(fujikura.co.jp)

  • 株式会社タカミヤ(takamiya.co)

【セキュリティ事件簿#2023-039】株式会社東京機械製作所 当社連結子会社における不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ 2023年1月30日


 この度、当社連結子会社である株式会社KKSが所有するサーバに対する不正アクセスにより、一部のお客様の個人情報が外部に流出する等した可能性が否定できないことがわかりました。お客さまをはじめ多くの関係先の皆さまには多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

 現時点で判明しております内容につきまして、株式会社KKSが公表いたしました別紙のとおりお知らせいたします。

 なお、今後開示すべき事項が発生した場合には、速やかにお知らせいたします。

----

株式会社KKSは、当社が所有するサーバに対する不正アクセスにより、一部のお客様の個人情報(会社名、電話番号、メールアドレス、 住所)が外部に流出する等した可能性が否定できないことがわかりましたのでお知らせいたします。また現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。 お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。 

1.概要

①発生

2022 年 11 月 5 日(土)当社総務部の従業員が作業を行っていた際に、サーバ内のファイルにアクセスできないため異常に気付きました。その後複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示があり、第三者による不正アクセスを受けたことを確認いたしました。

当社ではさらなる拡大を防ぐため直ちに外部ネットワークとの遮断を行ない、同日に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスを受けたサーバの範囲と状況、感染経路等の調査およびデータ復旧の検討を開始いたしました。

②調査の経緯・現在までに判明した原因等

初期調査において、当社の複数のサーバへの不正な侵入と内部のデータが暗号化されていることを確認いたしました。侵入されたサーバには、お客様から頂いたメールの情報、部品発送に関する情報などを保管するサーバが含まれており、お客様の個人情報が含まれていることがわかりました。

お客様の個人情報が外部に持ち出された可能性について外部専門機関による確認を行いましたが、その痕跡は現在まで確認されておりません。また、現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。しかしながら現在までの調査において流出の可能性を完全に否定することは難しく、今回お知らせすることといたしました。なお侵入経路は、インターネット回線を介して外部からの侵入を防止するために導入しておりましたセキュリティの脆弱性を悪用され、侵入された可能性が高いとの意見を得ております。

③現在の対応

今回の侵入に悪用されたセキュリティの脆弱性を修正する措置を実施するとともに、現在は全てのサーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築により、今まで以上に厳重な情報セキュリティ体制強化を行い、さらなる不正アクセスが起きないよう対策をとっております。

なお、個人情報保護委員会への報告と所轄警察署への届け出は完了しております。

2.流出等の可能性のある個人情報とお客様への対応

①対象
2018 年 4 月 1 日以降から 2022 年 11 月 4 日までの間に弊社が直接お名刺を頂いたお客様、並びに製品及び部品のご注文を頂いたお客様。

②情報
氏名、ご所属の会社情報(会社名、住所、電話番号、メールアドレス)、ご注文履歴及びその発送に関する情報、一部のお客様の個人住所と電話番号。

③対象のお客様への対応
2023 年 1 月 30 日より順次お客様への対応を進めてまいります

3.復旧状況

上記の情報が保管されていたサーバは、バックアップデータによって現在復旧しております。

4.今後の対策と再発防止

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を行い、今まで以
上に厳重な情報セキュリティ体制の構築を行いました。さらに、従業員に対して情報セキュリティに関する情報共有と指導を徹底し、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、
重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2022】株式会社フルノシステムズ 不正アクセス発生による個人情報流失に関する調査結果 [対象範囲確定]のお知らせと今後の対応について 2023年1月27日


株式会社フルノシステムズは、2022年12月19日にお知らせした、「不正アクセス発生による個人情報流失の可能性に関するお詫びとお知らせ」に関して、外部専門機関によるフォレンジック調査の最終報告書を受領し、対象範囲が確定しましたので、下記の通り調査結果のご報告及び今後の対応についてお知らせ致します。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

1.調査で判明した事実

サポートセンターで運営しているii-desk専用のサーバーにおいて、2022年11月18日から2022年11月20日にかけて、海外の送信元IPアドレスより不正アクセスを受けたことが判明しました。SQLインジェクションによる攻撃であり、個人情報が流出されたことが判明しました。

①流出した個人情報

2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームより、ご入力いただいた個人情報1068件。(なお、当該1068件には弊社社員のメールアドレスも一部含まれております)

流出した個人情報はメールアドレスのみであり、お問合せいただいたお客様の会社名、部署名、氏名、住所、電話番号、お問合せ内容などは含まれておりません。
なお、有償契約ユーザ様向けサポートセンターは対象ではありません。

②その他

流出した個人情報は①のみであり、当該サーバーに対して、その他攻撃、サーバーの改変等は確認されませんでした。

2.個人情報が流失したお客様への対応

メールアドレスが流出したお客様全員に個別のご連絡を差し上げました。
なお、個人情報保護委員会への報告、及び所轄警察への届け出も完了しております。

3.サポートセンターの復旧状況と今後の対策、再発防止

現在、サポートセンター専用サーバーは停止しておりますが、サポートセンターから利用されていた、マニュアルダウンロード等は他のサーバで利用可能な状態となっております。

外部専門機関の協力を得ながら再開に向けた準備を行っています。本事象の対策および、再発防止に向けてセキュリティー対策の強化を行います。サポートセンター復旧につきましては、改めてお知らせ致します。


【セキュリティ事件簿#2023-038】LockBit 3.0ランサムウエアギャングは、“Fujikura.co.jp”をハッキングしたと主張

 

株式会社フジクラは、東京都に本社を置く光ファイバーや電線、ワイヤーハーネス等を製造する非鉄金属メーカーである。日経平均株価の構成銘柄の一つ。

電線御三家(住友電工・古河電工・フジクラ)の一角。 光ファイバケーブルの接続で必要な「光ファイバ融着接続機」で世界首位。携帯電話・デジタルカメラ等に使われる「フレキシブルプリント基板」で世界3位。光ファイバーでは世界10位(国内首位)。

オフィスビルを中心とした複合施設である深川ギャザリアも運営している。

三井グループの月曜会に属しており、三井業際研究所及び綱町三井倶楽部の会員企業である。