【セキュリティ事件簿#2023-201】委託先がメール誤送信、講座受講生のメアド流出 - 滋賀県


県委託事業として(公財)滋賀県国際協会が実施している「ミシガン州立大学連合日本センター英語講座」において、案内をメール送信した際に、個人情報(個人メールアドレス)が流出いたしました。 

 これにより、当事者の皆様に御迷惑をおかけいたしましたことにつき深くお詫び申し上げますとともに、今回の事案に至ったことを深く反省し、再発防止に努めてまいります。

1.事案の概要

委託先事務局が夏季英語プログラムの日程表を送付するため、複数の受講生あてメール送信する際、「BCC」にメールアドレスを入力すべきところ、誤って送信先の宛先が確認できる状態で送信しました。

  1. 発生日:令和5年5月23日(火)
  2. 発生場所:委託先事務局内
  3. 流出した個人情報:個人メールアドレス 38名分

2.経緯

(1)令和5年5月23日(火)

 17時9分 委託先事務局から夏季英語プログラムの日程表を送付するメールを送信。

 17時13分 送信エラーで未送信メールがあったため同内容のメールを再送信。

「BCC」にメールアドレスを入力すべきところ、誤って送信先の宛先が確認できる状態で送信。

(2)令和5年5月23日(火)18時10分頃

 上記(1)メールを確認した委託先事務局員が送信先の宛先が確認できる状態で送信されていることに気付き、判明。受信した受講生1名からも、御指摘をいただく。

(3)同日18時20分頃から

 委託先事務局からすべての受信者あてに、個人情報の流出のお詫びと上記(1)メールの削除依頼の電話連絡を開始。

(4)同日20時18分

 委託先事務局からすべての受信者あてに、メールにて個人情報の流出のお詫びと上記(1)メールの削除を依頼。

(5)令和5年5月24日(水)9時頃から

 委託先事務局から、23日に電話がつながらなかった受講生10名に再度電話連絡し、個人情報の流出のお詫びと上記(1)メールの削除を依頼。

3.再発防止策

今後、同様の事案が発生しないよう、委託先に対して、個人情報の適正な管理および取扱いの徹底を指導してまいります。

委託先事務局においては、複数名あて送付するメールについては、「BCC」による一斉送信とし、複数の職員によるチェック体制を徹底します。

また、公式LINEアカウントからの一斉連絡に切り替えられるよう、受講生に登録していただくよう再度周知します。

併せて、外部のメール配信システムの使用を検討します。

【セキュリティ事件簿#2023-200】フーヅフリッジ株式会社 弊社ウェブサイトへの不正アクセスに関するご報告とパスワード変更等のお願い  2023年5月23日


平素は「フーヅフリッジ」をご利用いただき、誠にありがとうございます。

今般、弊社が運営する「フーヅフリッジ」ウェブサイトが不正に改ざんされ、不適切なウェブページが表示されていたこと、及び注文に関する一部情報が不正にダウンロードされていたことが判明いたしました。

不正に改ざんされたウェブページに関しては速やかに修正を行いました。また、不正にダウンロードされた注文情報は、注文番号・注文日時・会員コード等であり、現時点においては第三者がお客さまを特定できる情報が弊社ウェブサイトから流出した等の事実は確認しておりませんが、引き続き状況を調査しております。お客さまにはご迷惑・ご心配をおかけしておりますことを深くお詫び申し上げます。

<概要>
発生事象① 「フーヅフリッジ」ウェブサイトからの注文情報ダウンロード
発生日時 2023年5月10日(水)7時22分

発生事象② 「フーヅフリッジ」ウェブサイトのトップページにおける不適切なバナーの表示による第三者ウェブサイトへの自動遷移
発生日時 2023年5月10日(水)18時49分~5月11日(木)13時53分

<お願い>
念のため、「フーヅフリッジ」ウェブサイトにてご利用中のアカウントに関して、パスワード変更をお願いいたします。また、この期間に「フーヅフリッジ」ウェブサイトを閲覧・利用された可能性のある利用者様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、ウイルスチェックの実施をお願いいたします。

今後、このような問題が発生しない様、より一層の注意を払い、「フーヅフリッジ」ウェブサイト管理を実施してまいります。

【セキュリティ事件簿#2023-199】知多メディアスネットワーク株式会社 個人情報の漏えいに関するお詫び 2023年05月22日


いつも当社のサービスをご利用いただき、誠にありがとうございます。

この度、当社Webサイト内の従業員専用ページ(以下、当該ページ)に保存してあった一部のお客様の個人情報が社外から閲覧可能な状態になっていました。

1.対象となる情報

2022年9月から2023年5月に当社が管理する伝送路設備のメンテナンスに伴いサービスが停止となる当社加入のお客様の個人情報 計6,635名の氏名・住所情報。

なお、銀行口座・クレジットカード・電話番号・メールアドレス等の情報は含まれておりません。

(対象者の内訳)
(1)漏えいのあった情報:43名の氏名・住所
(2)漏えいの可能性があった情報:6,592名の氏名・住所

2.閲覧可能であった期間および人数

2022年9月9日~2023年5月19日  6,549名
2022年10月20日~2023年5月19日 43名
2023年3月14日~2023年5月19日  43名

3.経緯

2023年5月19日お客様からの申告により、
当社加入のお客様6,635名の氏名と住所がインターネット上で閲覧可能な状態となっていることが判明しました。

アクセスログが確認できた直近1ヵ月での当該ファイルへのアクセス数は、ご申告の1件(個人情報43名分)でした。

現在は当該ページを閉鎖して、閲覧できない状態となっています。

2023年5月19日以降の第三者への流出は確認されておりません。

4.原因

・当該ページは閲覧制限されていましたが、添付ファイルは閲覧制限されていませんでした。
・添付したファイルがインターネット上で閲覧できるという認識が担当者にありませんでした。

5.対応および再発防止策

(発覚直後に実施済み)
・当該ページに保存してあるすべてのデータを確認し、個人情報が含まれているデータを削除しました。
・当該ページを閉鎖しました。
・当社で運用するすべてのWebサイト対して、個人情報の有無・外部からのアクセスができないことを確認しました。

(今後速やかに実施)
・対象のお客様には郵送にて可及的速やかにご連絡します。
・社員へ個人情報保護に対する教育、ITリテラシー向上の教育を徹底します。(5月末までに実施)

6.お客様へのお願い

当社以外からの身に覚えのない連絡や訪問がありましたら、当社までご連絡下さい。

この度は、お客様並びに関係者の皆様に多大なるご迷惑とご心配をお掛けしておりますことを、深くお詫び申し上げます。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報管理体制の強化に努めてまいります。

【セキュリティ事件簿#2023-198】国土交通省 個人情報の流出に関するお知らせとお詫び 2023年5月28日


九州地方整備局 長崎河川国道事務所が管理する*溶岩ドーム情報配信システムに登録されている登録者情報が流出していることが判明しました。登録者情報には、整備局職員のほか自治体職員、関係コンサルタント会社社員等の総数96名分の氏名、メールアドレスや閲覧用ログインIDなどが含まれております。現在、情報がシステムから流出した原因を調査しているところです。

関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。 

*「溶岩ドーム情報配信システム」・・・雲仙普賢岳の溶岩ドームの変異を観測し、変異があった場合に自治体等の関係者へメール配信を行うもの

○事案の内容

令和5年5月27日(土) 22時頃、長崎河川国道事務所が管理するシステムから、防災情報発信先となる登録者情報の96名分(氏名・メールアドレスなど)が流出していることが判明しました。

○対応状況

現在、サーバーから外部接続を遮断し、システムのサーバー管理業者により情報流出の原因について調査を行っているところです。
個人情報が流出した方に対し、事案内容をご報告しお詫びさせていただいているところです。
なお、現時点におきましては、個人情報等の第三者への流出等の二次被害は確認されておりません。

○今後の対応

九州地方整備局においては、情報流出の原因究明を行い、情報セキュリティ対策や個人情報の管理徹底に万全を期してまいります。 

【セキュリティ事件簿#2023-197】厚生労働省 迷惑メールの送信事案の発生について 2023年5月29日


このたび、厚生労働省のサーバを経由し、第三者からの迷惑メールが送信されていたことが判明しました。メールは英文であり、厚生労働省とは関係がないことが記載されています。使用されているメールアドレスも厚生労働省のメールアドレスではありません。

当該メールを受け取られた方々には、深くお詫び申し上げます。

事案の概要等は、次のとおりです。

1.概要

令和5年5月27日(土)20時頃から、令和5年5月28日(日)20時30分頃までの間に、厚生労働省のサーバから、迷惑メールが送信された。
メールの件名は「Re: Can I trust you?」であり、メール本文も英文である。
使用されているメールアドレスは厚生労働省のメールアドレス(@mhlw.go.jp)ではない。
海外のアドレスを中心に、送信されたメールは約10万件である。
なお、情報の漏洩等は発生していない。

2.原因

原因は、精査中であるが、厚生労働省のメール中継サーバを利用した海外からの電子メールの不正な中継が原因であると考えられる。

3.対応状況

迷惑メールの送信が行われたことを確認後、メール中継サーバへのアクセスを遮断する等必要な措置を実施した。

4.再発防止策
厚生労働省では、今般の事案に対し、システム運用・保守事業者へ原因究明及び再発防止の徹底を求めるとともに、引き続き、情報セキュリティ対策に取り組む。


【セキュリティ事件簿#2023-196】茨城県 県立あすなろの郷におけるメール送信による情報漏えいについて 2023年5月25日


県立あすなろの郷(指定管理者:(社福)茨城県社会福祉事業団)において、個人情報(入所者名とメールアドレス)が漏洩する事案が発生いたしました。

今後、二度と同様の事案が発生しないよう、再発防止に努めてまいります。

1 事案の概要
(1)情報漏洩の状況
  • 5月9日、県立あすなろの郷の指定管理者である(社福)茨城県社会福祉事業団の職員が、入所者の保護者等に対してメール(メールアドレスの登録が完了したことを報告する内容)を送信した際に、BCCで送信すべきところをCCで送信したため、メールアドレスの情報が漏えいした。
  • 5月22日、上記メールを受信した入所者の保護者から連絡があり、情報漏えいが判明した。
  • 発覚後、情報漏えいがあった入所者の保護者等に対して謝罪し、受信したメールを削除するよう依頼した。
  • なお、現在、メール送信先の入所者の保護者等以外に情報が漏えいしたとの情報はない。
(2)漏洩件数
  • 入所者名と保護者等メールアドレス 88 件(80 人分)
     ※複数のメールアドレスを登録しているケースがある。

2 原因
外部へのメール送信前に送信先及び送信方法の確認を十分に行わなかったため。

3 再発防止策
指定管理先である(社福)茨城県社会福祉事業団に対し、以下の再発防止策等の徹底を指示し、事業団において対応中。
  • 外部にメールを送信する場合は、必ずBCCで送信するようにする。
  • 外部にメールを送信する場合は、複数人で送信先及び送信方法を確認して
から送信するようにする。

PontaポイントからJALのマイル交換で20%のレートアップキャンペーンを実施:2023年7月3日(月)~7月31日(月)

 

日本航空(JAL)、ロイヤリティマーケティング、KDDIは、PontaポイントからJALマイレージバンクのマイルへの交換で、通常より交換レートをアップする「PontaからJALのマイル 交換レート20%アップキャンペーン」を、7月3日から7月31日まで実施している。

JMB×Ponta会員もしくはJMBローソンPontaカードVisa保有者で、JALマイレージバンク日本地区会員が対象となる。Pontaからマイルへの交換レートは、通常2Pontaポイントあたり1マイルであるところ、20%分のボーナスマイルを付与する。1マイル未満は切り捨てとなる。

レートアップ分のマイルは、通常マイルとは別に積算する。ボーナスマイルの積算時点で、JMB×Ponta会員登録を解除、JMBローソンPontaカードVisaを退会している場合は対象外となる。

【セキュリティ事件簿#2023-195】株式会社モンテディオ山形 個人情報流出に関するお詫びとお知らせ 2023年5月25日


株式会社モンテディオ山形(代表取締役社長:相田 健太郎)が保有する個人情報の一部が流出していることが判明しましたので、お知らせいたします。なお、現時点では本件に関わる個人情報の不正利用等は確認されておりません。

お客様および関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

本件に関する概要につきましては、以下の通りです。

1.外部流出した個人情報
(1)項目
 JリーグID会員に登録されているメールアドレス
(2)対象件数
 152件

2.経緯

5月24日(水)
①モンテディオ山形が業務委託する外部業者において、来場促進メールを配信する際に、全体配信対象1,759件を3つのグループに分けて配信したところ、内1グループ(586件)の配信で、152件がエラーメールとなり配信未完了となりました。
② エラーによる配信未完了の152件についてメールを再配信する際に、宛先ではなく誤ってメール本文へ152件のメールアドレスを添付してしまった結果、586件中500件へ152件のメールアドレスが添付されたメールを配信してしまいました。

3.原因
本来、メール作成時に「配信対象のファイルを宛先に追加」すべきところ、「配信対象のファイルをメールに添付」としてしまったため、エラーメールとなった方の「メールアドレス」「半額優待用URL」が入力されたExcelファイルを添付し送信してしまい、メール配信時に添付及び配信対象相違に気付くことが出来ず、そのまま配信してしまったことが原因です。

4.今後の対応

本件の対象のお客様には、事象発生のご報告およびお詫びをメールとお電話にてご連絡いたします。
本件については、すでにJリーグ等の関係機関への適時報告を行っており、今後も引き続き外部業者と協力して調査していきます。なお、流出元となった外部業者にて、該当のお客様には、当該メールの破棄をご依頼させていただいており、さらなる情報流出がないよう対応いたします。
 
該当するお客様をはじめ関係者の皆様には、多大なるご迷惑とご心配をおかけしますことをあらためてお詫び申し上げます。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、委託先の管理を含め、より一層の管理体制の強化に努めます。何卒ご理解とご協力を賜りますようお願い申し上げます。