昨年12月3日に受けた不正アクセスにより生じていたコンピューターのシステム障害が復旧し、2月1日(水)から電子カルテシステム体制による外来診療を再開しました事をお知らせいたします。
この間、患者様や関係各位には多大なるご迷惑やご心配をおかけいたし申し訳ございませんでした。皆様からのご理解とご協力を賜りました事を深く感謝申し上げます。
金沢西病院はこれからも患者様お一人おひとりを大切にした診療を継続していきたいと存じますので、今後とも皆様のご愛顧を賜りますよう何卒よろしくお願い申し上げます。
【セキュリティ事件簿#2023-047】兵庫県赤穂市 赤穂市立保育所における USB メモリ紛失事案について 2023年2月3日
この度、赤穂市立有年保育所で利用児童等の個人情報を含む USB メモリを紛失する事案が発生しましたので報告します。
保育所内での紛失の可能性が高いとして捜索を行っておりますが、現時点において発見には至っておりません。
関係する児童および保護者の皆様にご迷惑をおかけしたことお詫びいたしますとともに、このような事案がおこらないよう情報管理の徹底と再発防止に取り組んでまいります。
事案の概要
令和5年1月30日(月)午後2時7分に職員室で職員が USB メモリを業務で使用後、ノートパソコンから外したことは履歴上確認できているが、その後、同日午後5時10分頃に他の職員が使用しようとしたところ、USB メモリの所在が分からなくなっていることが判明しました。
現在までのところ、個人情報の漏えいによる被害の情報は確認されていません。
USBメモリに含まれていた個人情報
・保育経過記録・月間指導計画(児童の氏名・生年月日等を含む) 21名分
・一時預かり保育の利用状況(利用児童・保護者の氏名を含む) 5名分
・行事開催時の写真 100枚程度
対応状況
職員室には常時職員が在席していたことなどから、保育所内で紛失した可能性が高いとして施設内を現在も捜索しています。
関係する保護者には個別に状況を説明し謝罪を行ったところです。
再発防止対策
これまでも業務において使用する USB メモリについては、保管・管理を徹底してまいりましたが、今回の事案を踏まえ、改めて USB メモリの使用方法を見直すとともに、職員に対しては、個人情報を含めたあらゆる情報の厳重な管理と適正な取り扱いの徹底を指導してまいります。
【セキュリティ事件簿#2023-046】札幌医科大学付属病院 個人情報の入った記録媒体(USB メモリ)の紛失について 2022年1月23日
札幌医科大学附属病院において、患者さん1名の個人情報(住所、氏名、生年月日等のデータ)が記録された USB メモリを紛失する事案が発生しました。
現時点では情報の流出等の悪用は確認されておりませんが、このような事案が発生し、患者さんご本人とご家族、関係者の皆様に多大な御迷惑と御心配をお掛けすることになりましたことを心からお詫び申し上げます。
個人情報の取扱いについては、機会あるごとに注意喚起や研修を行ってきたところではありますが、今回このような事案が発生し、適切な取扱いが徹底されていなかったことが明らかになったことから、事態を重く受け止め、職員に対し、あらためて個人情報の取扱いの管理徹底を行うとともに、再発防止に努めてまいりますので、ご理解の程お願い申し上げます。
本件につきましては、当該患者さんとご家族に対しまして、ご報告及び謝罪を
行っているところですが、重ねて深くお詫び申し上げます。
【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー 当社従業員によるご契約者様等の個人情報の漏洩に関する追加のご報告について 2023年2月2日
2023年1月25日付の「当社従業員によるご契約者様等の個人情報の漏洩について」でお知らせいたしましたとおり、従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明し、ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、重ねて深くお詫び申し上げます。
その後の社内調査により現時点で確認できた事項につき、以下のとおりご報告申し上げます。
1.漏洩が確認された個人情報
約29,000件の顧客情報。なお、機微情報、クレジットカード情報、金融機関の口座情報等、決済に関する情報は含まれておりません。
2.発覚と対応の経緯
- 2023年1月10日(火)頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のブランドを騙ったウォーターサーバー、電気、インターネットに関する勧誘がされている等、33件の問い合わせが当社に寄せられ、事態把握も含め勧誘元と思しき業者へ直接調査を開始。
- 2023年1月20日(金)
社内調査の結果、当社従業員が不正な方法により顧客情報を抽出し、外部に漏洩させた可能性が高いことが判明。 - 2023年1月23日(月)
本件に係る対策本部を設置し、外部専門家協力のもと全容把握へ向け社内調査を実施。 - 2023年1月24日(火)
関係機関への報告及び警察への相談を行う。 - 2023年1月25日(水)
「当社従業員によるご契約者様等の個人情報の漏洩について」を公表し、注意喚起を行う。 - 2023年1月27日(金)夕刻
漏洩させた疑いのある従業員本人に外部専門家を交えた事実確認を実施。
不正な方法による顧客情報の抽出及び第三者への漏洩の事実を認める。 - 2023年1月27日(金)~2023年2月1日(水)
従業員本人による事実確認を受け、漏洩の判明した顧客情報の規模及び範囲の特定作業を実施。 - 2023年2月2日(木)
本日のご報告に至っております。なお、詳細につきましては、警察の捜査に影響するため、開示を控えさせていただきます。
3.今後の対応
今般の情報漏洩に伴い、漏洩の対象となりましたご契約者様等へ個別に書面にてご連絡及びご説明をさせていただきます。漏洩した情報に伴う二次的被害防止を最優先とする取り組みを開始しており、漏洩した情報を入手した第三者に対して、当該情報を使用した勧誘行為の停止を申し入れ、応諾いただく等、とりうる措置を順次進めております。また、33件の問い合わせ発生に対する上記の措置等により、2023年1月20日以降、現時点に至るまで、ご契約者等より、新たな勧誘行為や金銭的な被害を受けたとのご報告は0件となっております。なお、今後、本件につきましては、警察と連携し事態の全容解明に努めてまいります。
4.顧客情報漏洩の原因
顧客管理システムへ不正な方法によりログイン後、漏洩の対象となる情報を抽出し、データを外部へ持ち出したことが直接的な発生原因であることを確認しております。
5.再発防止について
現時点におきまして、全社を対象として、顧客管理システムの一部機能の使用制限措置等、セキュリティ強化を実施いたしました。今後につきましては、今般の事態を厳粛に受け止め、当該システムのセキュリティの見直し、更なるセキュリティ対策の強化を図ってまいります。また、社内にて改めて情報管理に関するルールの徹底を周知するとともに、個人情報保護に関する教育を継続的に実施してまいります。
[イベント] CYBERUK 2023(2023/4/19-20)
NCSC(National Cyber Security Centre)が運営する英国を代表するサイバーセキュリティイベント「CYBERUK 2023」にようこそ。2023年のテーマは、オープンでレジリエントなデジタルの未来を確保することです。私たちは、デジタルとテクノロジーの発展において、前例のないほどの成長に直面しています。これは社会に大きな利益をもたらしますが、同時に英国や他の自由で開かれた社会の国家的・経済的安全保障上の利益を脅かす可能性も秘めています。
CYBERUK 2023では、今日の国際的なサイバーコミュニティが直面する最も困難な問題のいくつかに答えることを目指します。
- 10年後、サイバースペースはどうなっているのか?
- 10年後のサイバースペースはどうなっているのか、自由でオープンな民主主義を維持するためにサイバースペースを守ることができるのか。
- 私たちは必要な人材を育成し、成長させているだろうか。
- 私たちの価値を支える技術を革新し、構築しているだろうか。
- 私たちはリスクと脆弱性を予測し、軽減することができたでしょうか。
- 私たちは脅威に対してレジリエントであっただろうか?
もし、そうでなければ、未来のパートナーは私たちに何と言うでしょう?
このイベントでは、英国経済にとって100億ポンド規模のセクターである今日のサイバーエコシステムが、脅威に対抗し、チャンスに備え、英国をオンラインで生活し働く上で最も安全な場所に保つために、どのように強化し、協力し、革新していくことができるかを検証していきます。
CYBERUKは、そのエネルギー、世界クラスのコンテンツ、魅力的な講演者、そしてつながりを持つ機会で定評があります。
是非、ご参加ください。
ランサムウェアギャング「LockBit」が病院に復号鍵を無償提供
ランサムウェアギャングであるLockBitはアフェリエイトプログラムにおいて、重要インフラ、旧ソ連諸国、医療機関の攻撃を禁止している。
ではそんな組織が攻撃を受けたらどうなるのか?
今回は興味深い事例を紹介する。
これに則ると、半田病院の件も複合鍵を無償で入手することができた気がするが、普段のITの運用管理を完全に外部に丸投げしていたことからそうはならなかったと思われる。
クリスマスの数日前、2022年12月18日(日)の夜、カナダのHospital for Sick Children(通称SickKids)がランサムウェア攻撃に遭いました。
トロントにあるこの教育・研究病院は、この攻撃によって内部システム、電話回線、ウェブサイトに影響が出たと報告しています。
病院は、すべてのシステムが通常通り稼働するまでに数週間かかると予測し、予定された予約や処置は継続しているものの、臨床チームには遅れが出ており、患者や家族は待ち時間が長くなることが予想されると警告しています。
緊急復旧計画が実行に移され、年末までに同病院は、患者や家族が遅れを取ることが予想されるものの、優先システムのほぼ50%が復旧し、オンラインに戻ったと報告しました。
この攻撃は、病気の子どもたち、冷酷なサイバー犯罪者、そしてクリスマスという組み合わせで、世界中のメディアの注目を集めました。
この病院の攻撃者が使用したランサムウェア・アズ・ア・サービス(RaaS)事業で悪名高いLockBitが、SickKidsに謝罪するだけでなく、苦境にある病院に無料の復号ツールを提供するという異例の措置を取ったのは、おそらくそれが理由の一つでしょう。
ロックビットは、過去に他の病院をランサムウェアで攻撃することに何の抵抗もなかったが、ウェブサイトに掲載したメッセージの中で、珍しく遺憾の意を表明している。
ロックビットは、この攻撃を行ったアフィリエイターが規則に違反したため、今後の活動をブロックしたと発表しています。
サイバー犯罪者にも良心があるということでしょうか。あるいは、ロックビットの背後にいる人々は、病気の子供のための病院を攻撃することのデメリットが、強奪を望むかもしれないどんな金額よりも大きいかもしれないことに気づいたことを示しているのかもしれない。
結局のところ、法執行機関はLockBitの背後にいる人物を明らかにする理由をさらに多く持っていると想像できますし、他のサイバー犯罪者がこのランサムウェア攻撃を非常に悪く捉え、それに協力したと思われる人物の身元を明らかにしようとする危険性も常に存在します。
私は、重病の子供を持つ親を望んだりはしませんが、ほとんどのサイバー犯罪者が、金になる可能性があるなら、誰を標的にしようが構わないと考えるとは信じがたいです。
SickKidsは、最新の声明で、身代金の支払いを行わなかったこと、優先システムの60%以上を復旧させたこと、LockBitギャングが提供する復号化ツールを使用する必要があるかどうかを評価していることを確認している。
【セキュリティ事件簿#2023-045】国土交通省 個人情報の流出の可能性に関するお詫びとお知らせ 2023年1月13日
九州地方整備局 山国川河川事務所が発注した事業損失事後調査業務(受注者:東亜建設技術(株))において、受注者の業務従事者が発注者から貸与された調査に必要な個人情報が含まれた資料を紛失する事案が発生しました。
紛失した資料には、個人2名の住所及び氏名等並びに個人17名の氏名等が記載されています。
関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。
○事案の内容
令和5年1月17日(火)に事業損失事後調査業務受注者の業務従事者が、現地調査を実施中に発注者から貸与された個人情報が含まれた資料を紛失し、同日に遺失物として最寄りの警察に届出られたものです。
○ 対応状況
同資料に個人情報の記載のある方に対しては、事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等の第三者への流出、不正利用等の事実、二次被害は確認されておりません。
○ 今後の対応
九州地方整備局においては、同様の事案の再発防止に取り組んでいる中で発生したことを重く受け止め、更なる個人情報等の管理の徹底に関して、受注者への指導に迅速かつ万全を期してまいります。
登録:
投稿 (Atom)