【セキュリティ事件簿#2023-044】岩手医科大学附属病院 個人情報を保存したUSBメモリの紛失について 2023年2月2日


2022年10月5日頃、薬剤部内にて個人情報を含んだUSBメモリを紛失する事案が発生しました。USBメモリ内には会議資料に使うための薬剤治療実施患者1,894人分のリスト(患者ID、お名前、年齢、診療科、病棟名、医師名、薬品名、調剤日、調剤に必要な関連情報(処方箋区分、用量・単位、日数あるいは回数、投与分割数、総量、オーダ番号、薬剤治療コード、薬剤治療名))が含まれており、机の上に置いた後、行方が分からなくなっております。

USBメモリは、院内指針に則った暗号化機能付きのものを使用しており、パスワードによるロックがかかっております。また、紛失が起きた薬剤部は、学外者立入禁止区域でIDカード認証による入室管理をしているため、関係者以外の持ち出しの可能性は極めて低いと考えられます。

現時点で、本件による個人情報の不正使用等の被害は確認されておりませんが、当院として「個人情報の漏えいの可能性が否定できないこと」と「発生から報告まで長期間経過してしまったこと」を重く受け止め、該当する患者様に経過報告と謝罪を行う準備をしていることをご報告させていただきます。

患者様には多大なご不安ご心配をおかけすることとなりましたことを深くお詫び申し上げます。

また、今回の事態を真摯に受け止め、今後セキュリティ対策を強化するとともに、全学の教職員に対し個人情報の適正な管理を徹底し再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-043】株式会社エフエム東京 「ショッピングサイト」不正ログインに関するお詫びとご報告 2023年1月18日


平素はTOKYO FM公式ショッピングサイトを利用いただき、誠にありがとうございます。

この度、弊社の公式ショッピングサイトが利用するECサイトプラットフォームのシステムに対し、外部からの不正アクセスが発生し、お客様の個人情報が流出した可能性があることが確認されました。

お客様には、ご迷惑、ご心配をおかけいたしましたことを心よりお詫び申し上げます。本件に関しましては、現在、詳細な事実関係を確認中です。速やかに原因を究明し、今後このようなことが発生しないよう対応を検討してまいります。

現時点で確認している事実と対応状況につきましてご報告致します。

1.概要

2023年1月11日、TOKYO FM公式ショッピングサイト(以下、弊社ショップ)が利用するECサイトプラットフォームの注文管理画面に第三者による不正アクセスがあり、お客様の個人情報が流出した可能性がございます。

また、これらの情報を利用してお客様に下記のような内容で第三者によるメールが送信された可能性がございます。

【メール例】
---------------------------------------------

再支払いのお願い
このたびはTOKYO FM公式ショッピングサイトでお買い物いただき、ありがとうございました。
下記、ご注文において、与信エラーにより決済が正常に完了していないことが判明いたしました。
それに伴い、再度のお支払いをお願いいたします。
既に引き落としされている場合に関しましては自動でキャンセル扱いになり請求されませんのでご安心ください。
ご不便をおかけして申し訳ございません。

[再決済ページに進む]

ご注文内容

注文ID:XXXXXXXXXXXXXXXX

(以下注文情報がつづく)

---------------------------------------------

2.お客様へのお願い

上記のような内容のメールに従いクレジットカード情報を入力してしまった場合、クレジットカード情報が第三者に流出してしまった可能性があります。

誠に恐縮ではございますが、クレジットカード情報を入力してしまっていないか、またクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度確認をお願い申し上げます。

万が一、クレジットカード情報を入力してしまった、または身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社および弊社にご連絡していただきますようお願い申し上げます。

また、上記のような内容のメールのように再決済を要求するメールは第三者による不審なメールでございますので、再決済のお手続きを行わないようにお願い申し上げます。

なお、弊社はお客様のクレジットカード情報を一切保持しておらず、弊社からのクレジットカード情報の流出はございません。


Labels:

【セキュリティ事件簿#2023-042】兵庫県立がんセンター 個人情報が含まれたUSBメモリの紛失に関する お詫びとご報告 2023年1月31日


このたび、当院の医師が学会で発表する資料作成のために必要な患者様の医療情報を保存したUSBメモリ1個を紛失しました。

患者様には多大なるご心配とご迷惑をおかけすることになり、また事実確認と再発防止の検討に時間を要し、ご報告が遅れましたことを深くお詫び申し上げます。

なお、今のところ、情報漏洩等の事実は確認されていません。

1 紛失したUSBの内容

電子カルテから保存した55名分の患者ID、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。

2 経緯

USBメモリは、医師自身が管理しており、令和5年1月5日(木)に使用したことは確認しています。1月 13 日(金)に、USBメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で1週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。
このため、1月 27 日(金)に明石警察署へ遺失届を提出いたしました。

3 該当する患者さんへの対応

USBメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を1月 27 日(金)に郵送させていただきました。
また、電話もしくは対面でのご説明もさせていただいております。

4 再発防止に向けた今後の取り組み

電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたUSBメモリを使用することとし、USBメモリの使用が終わった後は、データを消去し、システム管理室にUSBメモリを返却することにします。システム管理室は返却のあったUSBメモリのデータ消去を確認します。

また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。

5 その他

引き続きUSBメモリの捜索に尽力します。

Labels:

【セキュリティ事件簿#2023-041】近畿大学病院 近畿大学病院で発生した診療情報の流出事案について 2023年2月2日

 

この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員(当時、以下 元社員A)が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。

元社員Aは、業務中に友人である患者B氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。

当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。

1.事案の概要

令和4年(2022年)11月5日、受付業務委託先の元社員Aが、当院を受診した患者B氏の診療情報(氏名、生年月日、診察記録)記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員A、患者B氏、友人C氏はいずれも友人関係にあり、患者B氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。

その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Aが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Aが自身の家族1名と友人E氏に、友人C氏が友人F氏・G氏に、それぞれ患者B氏の受診について話をしたことも判明しました。

2.対応

令和4年(2022年)11月15日に、当院より患者B氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。

元社員Aと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。

株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年(2023年)3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Aについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。

また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。

3.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります

①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。

②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。(11月14日~11月16日)

③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。(11月28日~12月26日)

④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。

近畿大学病院リリース文アーカイブ

株式会社エヌジェーシーリリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-040】尼崎市職員、泥酔して公用スマホ紛失。USBメモリ事件を恐れて虚偽報告し処分を受ける ~バッドニュースファーストは重要だが難しい~


兵庫県尼崎市は2023年1月27日、個人情報を含む公用スマートフォンを紛失し、虚偽の報告をしたとして、武庫地域課の男性職員を減給10分の1(1カ月)の懲戒処分にしたと発表した。スマホには市民の電話番号17件とLINE(ライン)の連絡先48人分などが登録されていたが、情報漏えいは確認されていないという。

市によると、職員は2022年12月1日夜、同僚らと飲食し、泥酔して午後11時半ごろタクシーに乗せられた。その後、職員の記憶はなく、帰宅途中に公用スマホを財布や免許証とともに紛失した。

職員は5日に尼崎南署に遺失物届を出していたが、上司には12日に「8日に紛失に気づき、12日に遺失物届を出した」と虚偽の説明をした。15日、職員の自宅近くで、別の職員がスマホを見つけた。遺失物届を取り下げたが、報告に不自然な点があり、同市で聞き取り調査など行ったところ、事実とは異なる報告が行われていたことが明らかとなった。

市の内規で公用スマホの持ち出しは許可が必要だが、同課は年単位で許可していた。市では22年6月、全市民の個人情報が記録されたUSBメモリーを委託業者が泥酔して一時紛失した。職員は「USBメモリーの紛失が頭をよぎり、自分で探そうと思った」と話したという。

市は紛失と発見について発表していたが「重要な報告をせず、誤った事実を公表することになり市政への信用を損ねた。情報漏えいのリスクを高めた」ことを処分理由とした。

Labels:

Microsoft Teams、再び障害(前回は2022年7月)~原因はオペミスか!?~


マイクロソフトは、2023年1月25日午後4時頃から最大で約5時間半に渡り、Microsoft AzureやMicrosoft 365、Microsoft Teamsなど幅広いサービスがほぼ全世界で利用できなくなっていた大規模障害について、予備的な報告書を公開しました。

まず原因について。同社のワイドエリアネットワークに対して行われた設定変更が全体に影響したと説明しています。

具体的には、設定変更のためにあるルーターにコマンドを送ったところ、そのルーターがWAN内のすべてのルーターに対して誤ったメッセージを送信。その結果、WAN内のすべてのルーターが再計算状態に突入し、適切にパケットを転送できなくなったことが原因とのこと。

問題の発端となったルーターは、マイクロソフトの認証プロセスで検証されていなかったことも付け加えられています。

同社としては、障害発生から約7分後に、DNSとWANに関する問題を検出し調査を開始。発生から1時間5分後にネットワークが自動的に回復し始め、ほぼ同じくして問題の引き金となった問題のあるコマンドが特定されたとのことです。

2時間後にはほぼすべてのネットワーク機器が回復したことが観測され、2時間半後にはネットワークが最終的に復帰したことが確認されたと報告されています。

ただしWAN自身が備えていた健全性維持システム、例えば健全でないデバイスを特定して削除するシステム、ネットワーク上のデータの流れを最適化するトラフィックエンジニアリングシステムなどがWAN自身の障害によって停止してしまっていたため、これを手動で再起動。

これによりWANを最適な動作状態に回復させるまでネットワークの一部でパケットの損失が増加し、約5時間時40分後にこれが完了したとのことです。

今後の対策として、影響度の高いコマンドの実行を遮断し、デバイス上でのコマンド実行は、安全な変更ガイドラインに従うことを義務付ける予定とのことです。


全文表示 / Read more »
Labels:

ランサムウェアギャングが発表した被害組織リスト(2023年1月版)BY DARKTRACER

 

Dark Tracerによると、2023年1月は日本企業3社がランサムウェアの被害にあっている模様。

  • 株式会社フジクラ(fujikura.co.jp)

  • 株式会社タカミヤ(takamiya.co)

Labels:

【セキュリティ事件簿#2023-039】株式会社東京機械製作所 当社連結子会社における不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ 2023年1月30日


 この度、当社連結子会社である株式会社KKSが所有するサーバに対する不正アクセスにより、一部のお客様の個人情報が外部に流出する等した可能性が否定できないことがわかりました。お客さまをはじめ多くの関係先の皆さまには多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

 現時点で判明しております内容につきまして、株式会社KKSが公表いたしました別紙のとおりお知らせいたします。

 なお、今後開示すべき事項が発生した場合には、速やかにお知らせいたします。

----

株式会社KKSは、当社が所有するサーバに対する不正アクセスにより、一部のお客様の個人情報(会社名、電話番号、メールアドレス、 住所)が外部に流出する等した可能性が否定できないことがわかりましたのでお知らせいたします。また現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。 お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。 

1.概要

①発生

2022 年 11 月 5 日(土)当社総務部の従業員が作業を行っていた際に、サーバ内のファイルにアクセスできないため異常に気付きました。その後複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示があり、第三者による不正アクセスを受けたことを確認いたしました。

当社ではさらなる拡大を防ぐため直ちに外部ネットワークとの遮断を行ない、同日に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスを受けたサーバの範囲と状況、感染経路等の調査およびデータ復旧の検討を開始いたしました。

②調査の経緯・現在までに判明した原因等

初期調査において、当社の複数のサーバへの不正な侵入と内部のデータが暗号化されていることを確認いたしました。侵入されたサーバには、お客様から頂いたメールの情報、部品発送に関する情報などを保管するサーバが含まれており、お客様の個人情報が含まれていることがわかりました。

お客様の個人情報が外部に持ち出された可能性について外部専門機関による確認を行いましたが、その痕跡は現在まで確認されておりません。また、現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。しかしながら現在までの調査において流出の可能性を完全に否定することは難しく、今回お知らせすることといたしました。なお侵入経路は、インターネット回線を介して外部からの侵入を防止するために導入しておりましたセキュリティの脆弱性を悪用され、侵入された可能性が高いとの意見を得ております。

③現在の対応

今回の侵入に悪用されたセキュリティの脆弱性を修正する措置を実施するとともに、現在は全てのサーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築により、今まで以上に厳重な情報セキュリティ体制強化を行い、さらなる不正アクセスが起きないよう対策をとっております。

なお、個人情報保護委員会への報告と所轄警察署への届け出は完了しております。

2.流出等の可能性のある個人情報とお客様への対応

①対象
2018 年 4 月 1 日以降から 2022 年 11 月 4 日までの間に弊社が直接お名刺を頂いたお客様、並びに製品及び部品のご注文を頂いたお客様。

②情報
氏名、ご所属の会社情報(会社名、住所、電話番号、メールアドレス)、ご注文履歴及びその発送に関する情報、一部のお客様の個人住所と電話番号。

③対象のお客様への対応
2023 年 1 月 30 日より順次お客様への対応を進めてまいります

3.復旧状況

上記の情報が保管されていたサーバは、バックアップデータによって現在復旧しております。

4.今後の対策と再発防止

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を行い、今まで以
上に厳重な情報セキュリティ体制の構築を行いました。さらに、従業員に対して情報セキュリティに関する情報共有と指導を徹底し、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、
重ねて深くお詫び申し上げます。

Labels:
登録: 投稿 (Atom)