【セキュリティ事件簿#2023-229】ロイヤルカナンジャポン合同会社 個人情報漏えいに関するご報告とお詫び  2023年6月13日


このたび、ロイヤルカナン ベテリナリーダイエット製品購入サイト「ロイヤルカナン ベッツホームデリバリー(VHD)」(以下「本サイト」といいます。)において管理されているペットオーナー様の個人情報が、一部の登録動物病院に漏えいしたことが判明しました。

このような事態を招き、ペットオーナー様および関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、心よりお詫び申し上げます。

詳細につきまして以下の通りご報告いたします。

なおこれまでに、個人情報の漏えいによる被害発生の報告はございません

1. 本件の概要

事象①: 2023 年 5 月 24 日 13 時 30 分頃から同月 25 日 12 時 58 分頃までの間、本サイトの登録動物病院向け管理画面(以下「管理画面」といいます。)において、登録動物病院が、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータがダウンロードできる状況となっていたことが判明いたしました。

事象②: 2023 年 5 月 24 日 13 時 30 分頃から同月 31 日 11 時 40 分頃までの間、管理画面において、登録動物病院が、他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータがダウンロードできる状況となっていたことが判明いたしました。

上記状況が判明した後、その原因が誤ったアクセス権限の設定にあることを確認し、直ちに設定の修正を完了したため、現在、自院以外の登録動物病院に紐づいたペットオーナー様に関するデータをダウンロードすることはできなくなっています。

2.漏えいした個人データ

事象①: 77,709 名のペットオーナー様の購入履歴に関する以下のデータ:
「氏名」、「注文 ID」、「注文種別」、「注文日時」、「出荷日」、「キャンセル日」、「顧客番号」、「動物病院ID」、「動物病院名」、「支払方法」、「明細小計」、「配送料」、「注文金額合計」、「クーポン利用」、「ポイント利用」、「請求金額合計」

事象②: 77,117 名のペットオーナー様の保有ポイントに関する以下のデータ:
「氏名」、「フリガナ」、「顧客 ID」、「保有ポイント数」

事象①、②のいずれにおいても、生年月日、性別、住所、電話番号、メールアドレス、本サイトのパスワードおよびクレジットカード情報は、漏えいしたデータに含まれていません。

3.経緯

本サイトにおいて、ペットオーナー様が、登録動物病院で推奨された弊社の療法食製品(以下「本製品」といいます。)を購入した際に、登録動物病院は、自院が本製品の推奨を行った当該ペットオーナー様と紐づけられ、当該ペットオーナー様の購入履歴等を管理画面で確認することになっています。他方で、登録動物病院は、通常、他の登録動物病院に紐づいたペットオーナー様の購入履歴等を管理画面で確認することはできません。

しかし、2023 年 5 月 25 日、登録動物病院様より本サイトのコールセンターに対して、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータをダウンロードできたとの連絡があり、弊社の委託先として本サイトの保守管理を担当している業者(以下「委託先」といいます。)において確認した結果、当該データの漏えいが判明しました(事象①)。

また、同月 31 日、事象①の発覚を受けて、委託先および弊社担当者が本サイトにおける全てのアクセス権限の確認作業を行っていた際に、管理画面において、登録動物病院が他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータをダウンロードできる状態となっていたことが判明しました(事象②)。

4.原因

事象①、②のいずれも、2023 年 5 月 24 日に実施した管理画面への追加機能のリリース時に、委託先が誤ったアクセス権限付与を行ったために発生しました。

5.データ漏えい判明後の対応

2023 年 5 月 25 日 12 時 58 分頃、事象①にかかるアクセス権限の誤設定の修正を完了しており、同時刻以降は、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータをダウンロードすることはできなくなっています。

また、同月 31 日 11 時 40 分頃、事象②にかかるアクセス権限の誤設定の修正を完了しており、同時刻以降は、他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータをダウンロードすることはできなくなっています。

なお、事象①について、ペットオーナー様の購入履歴に関するデータをダウンロードした可能性のある登録動物病院が 3 軒であることを確認及び特定し、いずれもデータが削除されていること、残っていないことを確認いたしました。また、事象②において、ペットオーナー様の保有ポイントに関するデータをダウンロードした可能性のある登録動物病院が15軒であることを確認し、現在、データの削除に向け対応を進めております。

6.二次被害のおそれの有無

上記のとおり、漏えいした個人データには本サイトのパスワードは含まれていないため、第三者が当該情報を用いて本サイトにログインすることはできません。また、ペットオーナー様の氏名と病院 ID を利用して新たなアカウントを作成しても、既に入力されている支払情報とは結びつかないため、漏えいした個人データの本人であるペットオーナー様になりすまして本サイトの購入手続きに進むことはできない仕組みとなっております。以上から、二次被害のおそれは極めて低いと判断しております。

7.再発防止策

弊社では、これまでも委託先リスクマネジメント手順に基づいて、委託先会社のセキュリティポリシー、開発環境のセキュリティレベル、アクセス制御状況、管理体制などの評価を行い、そのうえで必要な是正処置を行い開発ベンダー管理・運用を進めてまいりました。
本件の原因を再検証した結果、今後は、追加機能のリリースにおけるプロセス定義を見直し、リリース前の動作確認を徹底いたします。

弊社は、これまでも個人情報の適切な取扱いに努めてまいりましたが、本件の発生を厳粛に受け止め、個人情報の管理体制を見直すとともに委託先の管理・監督を再徹底してまいります。

【セキュリティ事件簿#2023-228】日高市 生徒の個人情報を含む校務用USBメモリの紛失について  2023年6月14日


日高市立中学校において、生徒の個人情報を含む校務用USBメモリを紛失する事案が発生しました。なお、現在のところ、当該USBメモリは発見されていません。

1 事案の概要

令和5年5月 28 日(日)、当該中学校に勤務する教諭(60 代・男性)は、校務用USBメモリに保存されている生徒の個人情報を含むデータを、職員室の校務用パソコンにコピーした(当該職員はデータをコピーした後、当該USBメモリをどのように扱ったかについて記憶していない)。

5月 29 日(月)、当該職員は当該USBメモリが無いことに気づき、自宅に忘れたものと判断した。当該職員は帰宅後に、自宅を捜索したが見つけられなかった。

5月 30 日(火)~6月1日(木)の間、当該職員は自宅や校内などを捜索したが当該USBメモリを見つけることができず、6月1日(木)午後7時頃に教頭に報告し、紛失が発覚した。

2 個人情報の内容

生徒 80 名分の1学期中間試験成績(未受検者 7 名分を除く)
卓球部練習試合の連絡通知(生徒 19 名の氏名を含む)
卓球部用具注文票(生徒 8 名の氏名を含む)
宿泊学習の際に生徒が撮影した写真データ 1,229 枚
(うち生徒が識別できるものは 342 枚)
指導用教材 等
※当該USBメモリは「市教育委員会情報セキュリティポリシー」の規定で、校長の許可なく校外に持ち出すことを禁じていたが、当該職員は許可を得ていなかった。

3 学校の対応

6月 1日(木)~ 当該職員と管理職(校長、教頭)が校舎内外等を捜索
6月 5日(月)~ 校長は事故について全職員に周知するとともに市教育委員会に報告、全職員で捜索
6月 6日(火) 飯能警察署及び西入間警察署に届出の有無を確認
6月 7日(水) 校長、教頭が当該職員の自宅を訪問し自宅内外を確認
6月 8日(木) 飯能警察署に「遺失届」を提出
6月 16 日(金) 校長は当該生徒に対し事案についての報告及び謝罪を実施臨時保護者会を午後6時から開催、事案について報告及び謝罪を実施

4 その他

6月 15 日(木)に臨時校長会議を開催し、改めて市内全校において「日高市教育委員会情報セキュリティポリシー」を徹底するよう指示する。

【セキュリティ事件簿#2023-158】株式会社村田製作所 当社ファイルサーバへの不正アクセスについて(第2報) 2023年6月13日


株式会社村田製作所(以下、「当社」)は、2023 年 4 月 27 日付け「当社ファイルサーバへの不正アクセスについて」にて公表したとおり、当社のネットワークに第三者による不正アクセスを受けたことを確認しました。

当社は、不正アクセスを確認後、外部のセキュリティ専門機関の協力を得て、被害の全容解明と再発防止に取り組んでまいりました。

関係する皆さまに多大なるご迷惑とご心配をおかけしていることにつきまして、深くお詫び申し上げます。

■調査結果について
当社は、外部の専門機関と連携して、原因の究明や被害の内容等について調査を進めてまいりました。その結果、第三者が、当社海外子会社を経由し、複数のファイルサーバに不正アクセスを行った事実が確認されました。当該ファイルサーバ以外の業務システムへの不正アクセスは確認されませんでした。

なお、不正アクセスを受けたファイルの外部流出については、調査の結果、確証を得る事実は見つかっていませんが、
不正アクセスを受けたファイルサーバ内に、お取引先から提供を受けた業務関連情報や当社の社内情報に関するファイルが含まれていることが確認されました。当社にてその影響を分析した結果、対象となるお取引先には、個別に報告を実施いたしました。

■対策および今後の対応
当社は、不正アクセスを確認後、速やかに外部からのアクセス制限や侵入経路の遮断など、さらなる被害を防ぐための措置を講じてまいりました。引き続き、情報セキュリティ対策の強化に取り組むとともに、今回の調査結果や外部の専門機関のアドバイスに基づき、再発防止に取り組んでまいります。

JGW(JAL Global Wallet)の外貨両替はお得なのか?

 

外貨両替をする際、どのサービスを利用するかは非常に重要な選択となります。今回は、JGW(Jal Global Wallet)と住信SBIネット銀行の2つのサービスを比較し、どちらがお得かを検証してみました。


1. 両替レートの比較

まず、とある日の同日に2万円をUSDに両替する場合のレートを見てみましょう。


JGW(Jal Global Wallet):137.78USD

住信SBIネット銀行:140.24USD

※住信SBIネット銀行はキャンペーン実施中。通常は1USDにつき3銭の手数料がかかるため、通常時は136.03USDになる。




この結果から、住信SBIネット銀行の方が2.46USD多くもらえることがわかります。



2. JGWの特典: JALマイル

しかし、JGWを利用する最大のメリットは、両替時にJALマイルがもらえることです。JGWでは1,000円の両替につき、7JALマイルが貯まります。2万円の両替だと140JALマイルが貯まります。このマイルは、航空券の購入やアップグレードなど、さまざまなサービスに使用することができます。


3. 総評

住信SBIネット銀行の方が、純粋な両替レートだけを見るとお得です。しかし、JGWのマイル特典を考慮に入れると、140JALマイルの価値が2.46USD以上であれば、JGWの方がお得となります。


最終的な選択は、マイルの価値や使用方法、そして個人の利用目的によって異なります。どちらのサービスを選ぶかは、ご自身のニーズに合わせて検討してみてください。

【セキュリティ事件簿#2023-227】オープンワーク株式会社 「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告 2023年6月16日


当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、一部、サービス上での不適切利用があったことが発覚いたしました。

4 月 10 日にリリースした「リアルタイム応募状況」機能にて、ご本人の同意を得ずに「年齢、現年収、現職種、応募先求人、応募からの経過時間」を公開しておりました。本件発覚後、すみやかに機能の停止(6 月 16 日完了)を行っております。

本件の対象となるユーザー様には順次、ご連絡させていただきます。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。

本件に関する概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2023 年 4 月 10 日~6 月 16 日の間、OpenWork 上で「リアルタイム応募状況」機能として、求人に応募した方の「年齢、現年収、現職種、応募先求人、応募からの経過時間」を公開しておりました。6 月 16日、本機能に関する問い合わせがあり、社内の調査によって、不適切な個人情報利用であることが発覚いたしました。同日、18 時 30 分に機能の停止をしております。

2.「リアルタイム応募状況」機能上での公開詳細

【対象】
下記期間内に OpenWork 上で求人に応募した社会人ユーザーの一部(8,965 名分)の「年齢、現年収、現職種、応募先求人、応募からの経過時間」に関する情報

 ※上記情報以外の氏名やメールアドレス等の情報は公開しておりません

【期間】
2023 年 4 月 10 日~2023 年 6 月 16 日

3.ユーザーの皆様への対応について

2023 年 6 月 16 日 18 時 30 分に本機能を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4.再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、機能開発手順の見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報保護法上、個人情報の漏えいに該当致しますので、個人情報保護委員会および JIPDEC への報告を速やかに行います。

この度は、ご利用ユーザー様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-091】東京海上ホールディングス株式会社  弊社からの送信メールデータの流出の可能性について 2023年6月15日


東京海上ホールディングス株式会社(以下「弊社」)において、「メール誤送信対策サービス」を委託する富士通株式会社(以下「富士通社」)のシステムが特定の期間に不正アクセスを受けたことにより、弊社から送信したメールデータの一部が技術的に外部から窃取可能な状態になっていたことが判明しました。弊社からメールの送信先の皆様へのご連絡を順次行っておりますが、ご連絡のつかない方が一部いらっしゃることから、本文においてもお知らせいたします。漏えいの可能性のある個人データ項目は、当該期間中に弊社から送信したメール内に含まれる情報(例:氏名、メールアドレス等)となります。

お客様をはじめとする関係者の皆様に、ご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。


弊社は、富士通社ですでに同様の事象が生じないように必要な対処(不正通信遮断等)を実施済みであることを確認しております。また、現時点ではお客様等の情報が悪用された事実は確認されておりません。

万一、弊社から発信したメールに関連してご心配な点がございましたら、お手数おかけしますが、以下のお問い合わせ先までご連絡くださいますようお願い申し上げます。

【セキュリティ事件簿#2023-226】CBREインベストメントマネジメント・ジャパン株式会社 メールアドレス流出に関するお詫び 2023年6月9日


2023 年 5 月 9 日(火)午前 10 時 35 分から午前 10 時 42 分に弊社物流投資部担当者よりお送りさせて頂きましたメール(件名「CBRE IM 千葉北Ⅳ竣工前内覧会のお誘い【5/31~6/2】」)につきまして、不適切な送信方法により、宛先の皆様には大変ご迷惑をお掛け致しましたことを衷心よりお詫び申し上げます。

このような事態を招いたことを重く受け止め、個人情報の取り扱いおよび情報セキュリティに関する社内教育ならびに管理体制のさらなる強化に取り組み、再発防止に努めてまいります。

本件流出に関しましては、関東財務局を通じて個人情報保護委員会へ報告を行っております。

1. 経緯
2023 年 5 月 9 日 午前 10 時 35 分から午前 10 時 42 分ごろ、弊社物流投資部担当者より、件名「CBRE IM 千葉北Ⅳ竣工前内覧会のお誘い【5/31~6/2】」)のメールを送信しました際、宛先のメールアドレスを「BCC」で送信すべきところ、「CC」で送信してしまいました。

2. 流出した個人情報
メールアドレス(1,889 件)
CC にて送付してしまった宛先のメールアドレスが不正使用された事実は、現在調査しております。

3. ご本人様への対応
当該メールの送信先のご本人様に、メールアドレス流出に関するお詫びと当該電子メールの削除をお願いする電子メールを送信しております。

4. 再発防止策
  • 今後、複数の送付先に対しメールを一斉送信する際は、一斉送信専用のシステム等を利用して、不適切なメール配信が起こらないような措置を実施いたします。
  • メールの誤送信防止を含む情報管理に関するコンプライアンストレーニングを緊急に実施するほか、予定されている今後のコンプライアンストレーニングにおいても、繰り返し社内周知の徹底を行ことにより、社員による個人情報漏洩防止のための方策を周知し、再発防止に努めることと致します。
万が一、不審な電子メールを受信した場合やご質問がある場合には下記お問い合わせ先にご連絡ください。

【セキュリティ事件簿#2023-225】日本経済新聞社 ウェビナー申込者の個人情報管理に関するお詫び 2023年6月15日


日本経済新聞社が昨年8月に開催したウェブセミナー(ウェビナー)にお申し込みくださったお客さまの個人情報が一時、インターネット上で閲覧可能な状態になっていたことが分かりました。セキュリティー会社にも依頼して調査したところ、個人情報が入ったファイルに外部の第三者からのアクセスはなく、情報流出がなかったことを確認しております。

一時閲覧可能になっていたのは、昨年8月19日の資産承継・資産運用のウェビナーに参加を申し込まれた3763名のお名前やメールアドレス、電話番号、住所、生年月日、年収、金融資産額などです。一部の申込者については金融機関の口座番号も含んでおります。今年5月11日~24日の2週間、閲覧できる状態でした。

当社が今回のウェビナーで利用した配信システムの管理者がシステムの改良作業をしていた11日、「非公開」だった当該ファイルの設定を誤って「公開」に変更してしまったことが原因です。今回のウェビナー関係者によるネット上の巡回調査で24日に発覚し、当社は直ちに当該ファイルに対する外部からのアクセスを遮断、ファイル自体も削除しました。

今回のお客さま3763名には6月13日に通知を発送しており、状況を説明させていただくとともにお詫びをいたします。個人情報保護委員会には事案の内容を報告いたしました。今回の事態を重く受け止め、個人情報の管理をさらに強化し、再発防止を徹底いたします。