【セキュリティ事件簿#2023-116】東京都 個人情報(メールアドレス)の漏えいについて 2023年03月17日


生活文化スポーツ局において、個人情報を漏えいする事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日
令和5年3月16日(木曜日)

(2)漏えいした個人情報
参加者及び登壇者103名のアドレス105件

(3)事故の概要
3月16日に開催した「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信

2 経緯

  • 3月16日(木曜日) 13時50分
    • 「ウクライナ避難民支援連携フォーラム」参加者及び登壇者103名(アドレスは105件)に対し、職員がメールを宛先欄で一斉送信
      すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
  • 同日14時8分
    • メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
  • 同日17時49分
    • 送信先に当該メールの削除依頼のメールを送信、電話での説明を開始
  • 同日18時29分
    • 取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。
  • 同日19時41分
    • 「TO(宛先)」になっているものについては削除をお願いし、そのメールには返信しないようすることについて、再度、メールで依頼
  • 3月17日(金曜日)13時00分時点
    • 流出したメールアドレスの所有者に電話連絡。103名中98名へ謝罪・説明(5名不在)
    • 不在の5名の方には、引き続き連絡していく
    • 現在のところ二次被害等の連絡は受けていない
3 発生原因と再発防止策

(1)発生原因

本件は、外部の複数の相手先へ同時にメールを送る際、通常は複数の職員でBCC欄にメールアドレスが入力されていることを確認した上で送信しているところ、複数の職員での確認を行わなかったことが原因です。

また、フォーラム開催中であり、管理職をはじめ多くの職員が、事務室内におらず、送信を担当した職員がすぐに報告した上で対応することが困難だったため、適切な事後処理が行われなかったことによります。

(2)再発防止策

  • 局内の全部署に対し、事故の再発防止に確実に取り組むよう通知を発出するとともに、生活文化スポーツ局サイバーセキュリティ委員会を開催し、個人情報等の適正な取扱徹底について周知しました。
  • 今後は、外部の複数の相手先へメールを送付する際は、必ずメールアドレスをBCC欄に入力するとともに、他の職員による確認を行うというルールについて、全職員に再徹底し、再発防止を図ってまいります。
    また、局職員全員に改めて注意喚起を行い、事業執行体制も含め、全部署において再発防止に向けて万全を期してまいります。

【セキュリティ事件簿#2023-115】時事通信社 個人情報入りパソコン紛失に関するお知らせとおわび 2023年3月16日


このたび、当社編集局の記者が業務に使用する個人情報入りのノートパソコンを紛失したことが判明しました。以下、概要をお知らせするとともに、関係先の皆さまに深くおわび申し上げます。 

パソコンは、記者が主に記事執筆や取材資料の管理、メールの送受信などのために利用していました。紛失したのは2023年3月9日午前0時半から1時ごろにかけてで、場所は東京都港区内の路上です。タクシーに乗ろうとしたところパソコンを入れたリュックサックの紛失に気付き、周辺を捜すとともに遺失届を出しましたが、発見に至っていません。直前まで飲酒していて記憶があいまいなため、紛失時の状況は不明です。

パソコンには、取材対象者約70人分の氏名と住所等をまとめた記者作成のリストのほか、記者が取材内容をまとめたメモなども記録されていました。パソコンの立ち上げにはパスワード等の入力が必要で、紛失物の中にパスワードを類推できる情報は含まれておらず、現時点で個人情報の流出などは確認されておりません。

記録されていた個人情報の関係者には、おわびを申し上げているところです。今後は個人
情報の管理体制をより強化し、再発防止に努める所存です。関係者の皆さまには、多大なる
ご心配とご迷惑をお掛けすることを重ねて深くおわび申し上げます。

【セキュリティ事件簿#2023-031】日本臓器移植ネットワーク 当社団における不正アクセスに起因するメールデータの一部消失に関するお知らせ 2023年03月14日


当社団がメール業務を委託する事業者(メールサービスプロバイダ)において、外部からの不正アクセスにより、当社団の特定のメールアドレスにおいて一部データが消失したことが判明いたしました。

以下、消失したデータ、発覚の経緯と対応、今後の対応についてお知らせいたします。
また、該当の方々へはお詫びとご報告をさせていただいております。

なお、現時点において、本件に関わるデータの流出は確認されておらず、不正利用等は確認されておりません。

当社団では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報セキュリティの強化に努めて参ります。

何卒ご理解とご協力を賜りますようお願い申し上げます。

1.消失したデータ
  • 当社団ホームページのお問い合わせフォームよりご連絡をいただいた方の中で、当社団より折り返し送受信をしたメールデータ
  • 最大199名・201件
  • 含まれている可能性のあるデータ:氏名、メールアドレス、会社名などの所属 (当社団よりメール送受信した宛先情報)、メール本文内容
  • お問い合わせフォームに入力していただいた電話番号・住所・お問い合わせ内容のデータは含まれていません
2.発覚の経緯と対応
  • 2023年1月16日
    当社団の特定のメールアドレスにおいて、一部のデータが消失している事実を当社団内部で発見。メールサービスを業務委託している事業者に問い合わせ。当該事業者において調査したところ、外部からの不正アクセスによるデータの消失であることが判明。
  • 2023年1月18日
    個人情報保護委員会へ不正アクセス事案の発生について報告。
    その後、継続的に報告、相談。
  • 2023年1月20日
    当社団ホームページにて不正アクセス事案の発生について公開。
  • 2023年1月26日
    所管警察署に被害届提出。
  • 2023年2月~3月現在
    消失データの調査及び関係機関との協議。
  • 2023年3月中旬
    該当する方々へのお詫びとご報告。
3.今後の対応

今後、早急に、セキュリティレベルの高いメール業務を委託する事業者(メールサービスプロバイダ)への見直しを図り、セキュリティ強化に努めて参ります。

【セキュリティ事件簿#2023-114】アイ工務店 お客様情報の流出に関するお詫びとご報告 2023年3月13日


このたび、弊社に資料請求等いただいたお客様情報が外部に流出していたことが判明いたしました。

当該お客様情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、 お客様をはじめとする関係者の皆様に多大なるご心配をおかけしますこと、深くお詫び申し上げます。

1 概要

2023年3月4日、弊社顧客情報流出について外部から情報提供があり、事実確認の結果、元従員がお客様情報を不正に持ち出していたことが判明いたしました。

社内調査を進め、元従業員が転職した先の企業に不正に情報提供していた事実が判明したことから、当該企業へは個人データの返却といかなる利用も停止するよう申し入れており、併せて警察へも破害を申告しております。

2 対象となる個人データの内容

(1) 氏名
(2) 電話番号
(3) 住所
(4) メールアドレス
 ※ 銀行口座、クレジットカード番号の情報はありません。

3 再発防止に向けて

このたびの事態を厳粛に受け止め、 現状の管理体制の改善と監視体制の強化、 従業員教育の徹底を図り、全社的に再発防止に努めてまいります。

ランサムウェアギャングが発表した被害組織リスト(2023年2月・3月合併版)BY DARKTRACER

 

Dark Tracerによる、2023年2月、3月のランサムウェア被害を受けた日本企業。

・株式会社 孝(hyosung.jp)


・株式会社オーディオテクニカ(audio-technica.com)


・株式会社ソルパック(SOLPAC.CO.JP)




【セキュリティ事件簿#2023-113】平塚市 職員の懲戒処分 2023年3月10日


 地方公務員法第29条第1項の規定に基づき、次のとおり職員の懲戒処分を行いましたので報告いたします。

所属部局市長部局
職名主査
性別男性
年齢38歳
処分年月日令和5年3月10日
事案の概要1 当該職員は、令和4年7月12日に、権限が無いにもかかわらず、他の職員がログインしていた住民記録システムの端末から、同僚職員Aの家族の住所を不正に収集し、同僚職員Aを誹謗中傷する文書を、市民である同僚職員Aの家族に郵送した。
2 また、令和4年11月末から令和5年1月初旬の間に、前所属において、業務上知り、記憶していた市民の秘密情報を、同僚職員Bと同僚職員Cの計2人に対して、文書で漏えいした。
 さらに、同情報を市役所内のD課とE課の2課に対して、本市ウェブ内の各課への問い合わせフォームから送信し、漏えいした。
3 さらに、前所属において、平成29年度から令和3年度の間に住民記録システムの端末を利用し、約70人の市職員の個人情報を職務以外の目的で閲覧した。
処分内容停職6月
管理監督者の処分課長及び課長代理、課長(当時)及び課長代理(当時) 文書訓告

【セキュリティ事件簿#2023-112】豊田市 個人情報(電子メールアドレス)の流出について 2023年4月5日


豊田市から送信したメールの受信者のメールアドレスが流出した件(令和5年4月4日報道発表済み)について、本市において調査したところ、以下のとおり判明しました。

発生期間

令和5年4月1日(土曜日)午後6時9分~4日(火曜日)午後4時56分

※この間、「強制BCCシステム」が停止していた

流出したメールアドレス

652件(対象となるメール24通に含まれるメールアドレスの合計)

※個人情報に該当しないメールアドレス(当該メールに含まれる情報だけでは個人を特定するに至らないもの)を含む

原因(既報)

システム提供元のひまわりネットワーク株式会社が「強制BCCシステム」の稼働に必要なソフトウェアライセンスの更新作業を怠ったため、一時的に「強制BCCシステム」が作動しない状況となっていた。

判明後の対応

令和5年4月5日(水曜日)、流出したメールアドレスの対象者全員に、本件に関するお詫びと事情説明、当該メールの削除を依頼する旨のメールを順次個別に送信しているところ。

再発防止策
  • 市からシステム提供元の事業者に、ライセンス有効期限の管理及び更新手続きを徹底するよう指導(4月5日実施済み)
  • 同事業者において、「強制BCCシステム」のソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定
  • 情報システム課及び事業者において日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する
  • 市の職員に対し、「強制BCCシステム」の稼働状況にかかわらず、複数人宛に同時にメールを送信する際は「宛先(To)」や「CC」にアドレスを入力せず、「BCC」に入力するよう、研修等を実施し、徹底させる

【セキュリティ事件簿#2023-111】川崎設備工業株式会社 名刺管理システムへの不正アクセスによる情報漏えいに関するお知らせとお詫び 2023年3月31日


平素は格別のご高配を賜り厚く御礼申し上げます。

この度、弊社が利用する名刺管理システムから名刺情報(会社名、部署、役職、氏名、会社住所、電話番号、メールアドレス等)の漏えいが発生しましたので、お知らせいたします。

具体的には、名刺情報を管理しておりますシステムに社員以外の第三者が不正にログインして、名刺情報を閲覧したことが判明いたしました。

詳細及び対策につきましては下記のとおりです。

ご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。

■不正アクセスされた情報
弊社社員と名刺交換を行い、名刺管理システムに登録されている66,214件の名刺情報。

■経緯
2023年3月22日に名刺管理システムの運営会社より、不正なIPアドレスより弊社社員のIDでアクセスされていると連絡があり、当該社員に確認したところ、2023年2月13日に名刺管理システムの運営会社を名乗る担当者より電話とメールで連絡があり、IDとパスワードを詐取されていたことが判明しました。

■被害の状況
現時点で、営業メールや営業電話等の被害は確認されておりません。

■実施済の対応
現時点で、以下の再発防止策を含めた対応を行いました。
 ①名刺管理システムの当該社員のIDの停止
 ②名刺管理システムに登録されている全IDのパスワードの初期化
 ③全社員への注意喚起(IDやパスワードを安易に教えないこと)
 ④個人情報保護委員会への報告(速報)

■今後の対応
本件につきまして、重ねてお詫び申し上げますとともに、今回の事態を厳粛に受け止め、再発防止に努めて参ります。具体的には次のように取り組みます。
 ①データへのアクセスの二段階認証方式によるセキュリティ強化
 ②個人情報保護の重要性と情報セキュリティ及び個人情報保護規程に関する社員教育の徹底
 ③個人情報保護委員会への最終報告
また、順次、名刺管理システムに登録されているお取引様への連絡を進めてまいります。
今後とも変わらぬお引き立てのほど、 何卒よろしくお願い申し上げます。