【セキュリティ事件簿#2023-242】READYFOR株式会社 ユーザーのログイン状態が他のアカウントに置き換わる不具合に関するご報告とお詫び 2023年6月15日

READYFOR株式会社（代表：米良はるか、所在地：東京都千代田区）が運営する、クラウドファンディングサービス「READYFOR」（以下「本サービス」）にて、2023年6月14日（水）14時30分頃より、一部のユーザーのログイン状態が他のアカウントに置き換わる不具合の発生が確認されました。

なお、置き換えられた可能性のあるアカウントユーザーの皆様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げます。

また、当社では複数の事業を運営しておりますが、対象となったのは、クラウドファンディングサービス「READYFOR」のみとなっております。

本不具合について以下の通りお知らせするとともに、関係するユーザーの皆さまに深くお詫び申し上げます。

1．発覚の経緯及び応急対応

14日18時30分頃、本サービスのユーザーから当社に対し、身に覚えのない操作の履歴が存在するとの問合せがありました。

当該問合せを契機として原因究明を行ったところ、本サービス利用中にユーザーのログイン状態が他のアカウントに置き換わる不具合が生じる可能性があることが発覚いたしました。

そのため、14日20時10分に本サービスを緊急メンテナンス状態とし、一時的に本サービスの利用停止を行いました。

なお、本サービスは、15日7時10分頃に復旧いたしました。

2．発生原因及び再発防止策

当社における調査の結果、14日14時30分頃にリリースしたプロダクトの改修に起因して、本サービスに係るキャッシュサーバーの動作が意図せぬ形で変更されたことが契機となり、本不具合が生じたものと特定いたしました。

そのため、本サービスの復旧に先立ち、当該改修のリバート処理（改修前の状態に戻す処理）及びキャッシュサーバー上からのキャッシュの削除を行いました。

3．影響範囲及び対応状況

（1）本不具合が生じた可能性がある時間帯

本不具合は、本不具合の原因となった改修のリリースから緊急メンテナンスを開始するまでの14日14時30分から20時10分までの間（以下「本時間帯」）生じた可能性があります。

（2）置き換えられた可能性のあるアカウントについて

・置き換えられた可能性のあるアカウント数

当社において本サービス上のログを分析した結果、最大470名のアカウント 最大57名のアカウント（以下「置き換えられた可能性のあるアカウント」）に対して置換えが生じた可能性があると判断しております。これらのアカウントのユーザーの皆さまに対しては、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げます。

（2023年6月19日12時追記：追加調査により、置き換えられた可能性のあるアカウントの範囲を絞り込み、現時点で最大57名であることが判明しましたので、修正しております）

・置き換えられた可能性のあるアカウントからのご支援について

置き換えられた可能性のあるアカウントから本時間帯に行われたご支援（43件 7件）に関しては、当社から当該アカウントのユーザーの皆さまに対して有効な支援であるかを確認し、有効性を確認できない場合には、当社の判断で支援をキャンセルいたします。

（2023年6月19日12時追記：追加調査により、本不具合により生じた、有効でない可能性がある支援は現時点で最大7件であることが判明しましたので、修正しております）　

・置き換えられた可能性のあるアカウントの登録情報の漏えいの可能性について  

本不具合により、本サービスの別のユーザーから、置き換えられた可能性のあるアカウントの登録情報が閲覧された可能性があります。なお、当社は本サービスのユーザーのカード番号を保有しておらず、本不具合によるカード番号の漏えいのおそれはありません。

（3）別のアカウントにログイン状態となった可能性のあるユーザーの入力情報について

置き換えられた可能性のあるアカウント上で本時間帯に入力された住所、氏名等のユーザー情報のうち、別のユーザーが入力した情報である可能性がある情報については、個人情報保護の観点から、当社の判断で秘匿処理を行いました。

（4）その他

上記のほか、本時間帯の支援に際して新たに登録されたカード番号については、置き換えられた可能性のあるアカウントからの支援か否かにかかわらず、最大限慎重を期して、すべて削除いたしました。

上記のほか、本時間帯の支援に際して新たに登録されたすべてのカードについて、ご本人様が再度カード情報を登録しない限り、本サービス内で新たな支援での利用ができないようにいたしました。なお、当社は本サービスのユーザーのカード番号を保有しておらず、本不具合によるカード番号の漏えいのおそれはありません（2023年6月15日13時訂正）。

4．6月14日14時30分~20時10分にご支援を行った支援者さま向けのお願い

上記のとおり、置き換えられた可能性のあるアカウントから本時間帯に行われた支援に関しては、当社の判断でキャンセル処理を行う可能性があります。

本時間帯にご支援をされた支援者さまにおいては、ご自身のアカウントの支援履歴および支援の有無をご確認頂けますと幸いです。支援したはずの支援履歴がない場合、当社にご連絡頂けますと幸いです。

5．本不具合を受けて　

本不具合により、ログイン状態の置き換えの影響を受けたユーザーの皆さま、本不具合に伴うご支援のキャンセルの影響を受けた実行者の皆さま、本不具合に起因したサービスの一時利用停止により影響を受けられたすべてのユーザーの皆さまに対し、ご迷惑をおかけしたことを深くお詫び申し上げます。

本不具合の発生を重く受け止め、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-241】那覇市社会福祉協議会 ボランティア登録者情報の漏えいの可能性に関するお詫びとご説明 2023年06月26日

情報漏えいの可能性がある方に対しましては、個別でお詫び及びご説明の文書をお送りしております。

また、文書中のございます別紙の内容は以下の通りです。

【経緯】

令和5年5月26日（金）に、「ボランティア登録情報がインターネット上で閲覧可能になっている」とのご指摘を外部から受け、事実関係を調査いたしましたところ、令和3年度にアップロードしたチラシに掲載したボランティア登録用QRコードのリンク先からある項目をクリックすると、回答者情報が閲覧可能となっていたことが判明しました。

 

【原因】

令和3年度当時、本会ホームページ（以下、HP）で、「令和3年度ボランティア保険案内」チラシを「ボランティア事業」ページ及び「お知らせ」ページに公開する準備をしておりました。公開前にリンクのミスに気付き、チラシの修正や本会HPの「ボランティア事業」ページには修正済みチラシをアップしました。しかし、「お知らせ」ページのチラシについては差替えができておらず、閲覧できる状態のまま公開しておりました。窓口での登録や、新規登録者への呼びかけについては修正したチラシや「ボランティア事業」ページを使用していたため、発覚が遅れました。

 

【閲覧の可能性がある範囲】

・閲覧の可能性がある期間（情報が閲覧できる状態だった期間）

　令和3年4月1日～令和5年5月26日

・閲覧の可能性のある人数　47６名

・閲覧の可能性の元となったデータについて

　那覇市ボランティア・市民活動センターのボランティア個人登録用フォームから登録された情報

・閲覧の可能性のある個人情報について

氏名、生年月日、住所、電話番号、メールアドレス、活動マッチングに関する事項等 

 

【判明後の対応】

令和5年5月26日に速やかに、登録フォームの非公開化などを行うとともに、法人として原因究明などの調査や対応の検討を開始しました。これまでに、該当するフォームやHPを抹消するなど、本事案における更なる漏えいを発生させない措置は完了しております。

漏えいの可能性のある方に対して、文書またはメールにより経緯を説明し、謝罪致しました。

なお、これまでに情報の流出及び、不正使用等の事実は確認されておりませんが、今後とも漏えいの可能性のある方に対して、誠意ある対応を行ってまいります。　

 

【再発防止に向けて】

本会としましては、今回の個人情報漏えい事案は、重大な問題として認識しております。

最初のチラシ作成、HP掲載時、修正作業、各段階での複数の現場担当者及び管理職による確認を怠っておりました。その結果、外部から指摘されるまで、約2年2か月もの長期間、外部から閲覧可能な状態となっておりました。

今回の事案及びその問題点と再発防止策を全職員間で共有し、改めて、個人情報に関する管理方法について、徹底してまいります。

また、再発防止策として、情報掲載時において、現場・管理職による複数名での確認、毎月1回定期的に、ホームページを担当者がチェックし、管理職に報告するなどの体制を構築いたしました。

本会では、これらの手段を講じて同様の事案の再発を防止するよう努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-240】ふくい女性財団 きらめきフェスティバル2023「記念講演YouTube配信」申込者 の個人情報漏えいに関するお知らせとお詫びについて 2023年6月26日

当実行委員会が６月２４日に主催しました「きらめきフェスティバル2023」における記念講演（講師：ＡＥＲＡ編集長 木村恵子 氏） を、後日申込者限定で配信するため、６月１日（木）より、YouTube配信申込みを受付けているところですが、前に申込んだ方の個人情報（氏名および電話番号のみ）が、後に申込みを行った方に閲覧可能な状態となっていたことが判明しました。（現在は解消済み）

YouTube配信を楽しみにされてお申込みをいただいた方々と関係者の皆様方に、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げますとともに、本件に関する概要・経緯等を以下のとおりお知らせします。

なお、式典・記念講演のYouTube配信につきましては、予定どおり７月中旬を目途に配信いたします。

１　発覚日時　　　

令和５年６月２４日（土）１３時頃

２　YouTube配信申込の概要

• 本イベントの記念講演のYouTube配信申込をGoogleフォームにより募集
• 申込者は、フォームに、氏名、性別、お住まいの市町、年代、連絡の取れる電話番号、メールアドレスを入力

３　発覚の経緯

• 自身の申込みが完了した時点で、完了画面に表示されている「前の回答を表示する」というリンクをクリックすると、これまでに申込まれた方の申込情報が閲覧できる状態であったことが、申込者から、６月２４日（土）１３時頃に電話連絡があり発覚した。

４　原因

• 当委員会事務局の設定ミスにより、フォームの設定の際、プレゼンテーションの項目で「結果の概要を表示する」の機能が有効になっており、この機能がオンになっていると「前の回答を表示」のリンクが有効になり、フォームで回答されたアンケート等の集計結果が表示されてしまう。
• 今回は、性別、お住まいの市町、年代はグラフで表示され、個人の特定にはつながらないが、申込者の氏名および連絡の取れる電話番号が表示される状態であった。（メールアドレスは表示されない。）
• フォームの設定に、プレゼンテーションの項目で「結果の概要を表示する」の機能があり、この機能がオンになっていると「前の回答を表示」へのリンクが有効となり、Googleフォームで回答されたアンケート等の集計結果が表示されてしまう。

５　情報漏洩のあった可能性があった期間　

令和５年６月１日（木）１７時～６月２４日（土）１３時１５分

• ６月　１日（木）１７時
  You Tube配信申込用のGoogleフォームをホームページにアップ
  
  
• ６月２４日（土）１３時頃
  申込者から実行委員会への問い合わせにより、申込者の個人情報が情報共有できる状態となっていることが発覚
  
  
• ６月２４日（土）１３時１５分
  当該フォームの原因を発見し、表示設定をオフに変更
  以後、「前の回答を表示」が表示されなくなり、他の申込者の情報閲覧は出来ない状態とした。

６　情報漏洩のあった可能性があった方の数　　　

６月２４日１３時１５分現在までの申込者　２３名

７　情報漏洩のあった可能性がある個人情報　　

申込者の氏名および電話番号

８　対応状況

６月２４日（土）夕方～６月２５日（日）　

　YouTube配信申込者２３名に対して、電話にて直接お詫びするとともに、お詫び状をメール送信　

６月２６日（月）　　本お知らせを、ふくい女性財団ホームページ等にて公表

９　再発防止策

• 今後、Googleフォーム作成に当たっては、設定ミスを防ぐため、フォーム作成以外の職員が公開前に実際に操作し、設定ミスがないかテストすることを職員に徹底します。
  
  
• さらに、当実行委員会事務局を担当する（公財）ふくい女性財団において、情報セキュリティポリシーおよび個人情報保護規程に基づき、セキュリティ対策および監視体制の再点検および強化を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-239】白川村 ふるさと納税レビューキャンペーンにおける個人情報漏洩に関するお詫びについて 2023年6月26日

白川村ふるさと納税寄付者様を対象に実施した「令和５年度白川村レビューキャンペーン」において、個人情報を含む回答者のアンケート内容がほかの回答者に閲覧及びダウンロードできる状態であったことが判明しました。このため急遽レビューキャンペーンのアンケートを中止させていただきました。

ふるさと納税寄付者の皆様には、多大なるご迷惑及びご心配をお掛けすることになり、深くお詫び申し上げます。庁内調査のうえ、アンケートにご回答いただいた82名の方には、個別に連絡を差し上げ、第一報としてお詫びとご報告をさせていただいております。

併せて、82名の個人情報を閲覧できた可能性がある12,401名にご報告とデータの消去及び利用をしないよう依頼いたしました。これまでに個人情報の漏洩による被害発生の報告はございません。

なお本件について、本日、個人情報保護委員会へ報告し、記者会見を開き公表いたしました。

このような事態が再び発生しないよう、厳正な対策を講じ、情報管理の強化を図ると共に、再発防止に向けた体制を整えて、ふるさと納税はもちろん、行政全般の信頼性を高めるよう一層努力をしてまいります。

最後に、今回の不手際によりまして、ご迷惑をお掛けいたしました皆様、関係者の皆様に改めて心からお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-238】社会福祉法人あじろぎ会宇治病院 不正アクセスによる情報流出の可能性に関するお知らせとお詫び 2023年6月12日

平素より格別のご高配を賜り厚く御礼申し上げます。

先般、当法人は第三者による不正アクセス攻撃を受け、当法人が保有する個人情報の一部がランサムウェアにより暗号化されたこと (以下「本件」という) が判明しました。

当法人といたしましては、当該不正アクセスの事実から個人情報が外部に流出した可能性を完全には否定しきれないものと判断し、お知らせをさせていただきます。

なお、現時点において、本件に共づく個人情報の不正利用等の事実は確認されておりませんのでご安心下さい。

当法人では今回の事態を重く受け止め、より一層の管理体制の強化と再発防止対策に全力で取り組んでいるところでございます。

このたびは、患者・利用者様をはじめ、多くの皆様に多大なるご心配とご迷惑をお掛けしておりますことを、深くお詫び申し上げます。

本件の対象となる皆様には、書面にてご通知をさせていただくとともに、お問い合わせ専用窓口を設置させていただきます。

今後も引き続き必要な調査を行い、新たな情報が判明した場合には、速やかにホームページ等でご報告をさせていただきます。

●本件の経緯

2023年1月6日未明、第三者による当法人への不正アクセス攻撃を確認、システム内一部データの暗号化と攻撃者による脅迫文を確認しました。 その後、専門機関によるフォレンジック調査の結果、外部へのデータ通信履歴が確認できたことから、情報流出の可能性を完全には否定しきれないものとの判断に全りました。

●情報流出した可能性のある情報

(1) 患者様及び患者ご家族様の情報

・氏名、性別、生年月日、住所、電話番号

(2) 退職者合む当法人職員の情報

・氏名、性別、生年月日、住所、電話番号

●当法人の対応

当法人は、本件発覚後速やかに警察当局や専門家とも連携の上、二次被害防止と再発防止に向けたセキュリティ強化に努めております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-237】志布志市 本市が運営する「志布志市ふるさと納税特設サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年6月22日

平素は志布志市ふるさと納税事業にご支援・ご理解を賜り誠にありがとうございます。

この度、本市へのふるさと納税の窓口の一つであります「志布志市ふるさと納税特設サイト」（以下「当サイト」といいます。）において、第三者による不正アクセスを受け、当サイトを通じて本市にご寄附をいただいた方（以下「寄附者様」といいます。）の一部のクレジットカード情報（910件）が漏えいした可能性があることが判明いたしました。

外部専門機関で調査し、現時点で判明した漏えいした可能性のある寄附者様につきましては個別にご連絡いたします。

なお、初期的な調査の結果から、当サイトを通じたクレジットカード決済以外の方法（他のポータルサイトや郵便振替）によりご寄附をいただいた方のクレジットカード情報が漏えいしたおそれはないものと考えております。

寄附者様をはじめ関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

本市では、今回の事態を厳粛に受け止め、事実関係の調査を続けるとともに再発防止のための対策を講じてまいります。

寄附者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。

1.概要

2023年4月6日、一部のクレジットカード会社から、当サイトを利用した寄附者様のクレジットカード情報の漏えい懸念について連絡を受けました（なお、2022年10月24日には、本漏えいとは関係しない保守管理上の理由により、すでに当サイトでのカード決済を停止しております。）。

ご連絡をいただいたのと同時に、当サイトの保守管理会社及び第三者調査機関による調査を開始しました。現在、クレジットカード情報に関しては、調査が完了し、原因等の詳細が判明いたしましたが、それ以外の情報に関する調査が継続中です。クレジットカード情報以外の情報に関する調査結果につきましては、改めてご報告させていただきます。

2.発覚の経緯及び現在までの対応状況

• 2023年4月6日、クレジットカード会社より、当サイトを利用した寄附者様のクレジットカード情報について漏えいし及び不正利用された可能性がある旨の連絡を受けました。本市は、直ちに、個人情報漏洩リスク対応マニュアルに基づき、対策本部を設置し、鹿児島県警察に事案を報告するとともに、保守管理会社と連携し、調査を開始しました。

• 4月7日、個人情報保護委員会に対する速報を行いました。

• 同日、保守管理会社による内部調査の結果、当サイトからのクレジットカード情報漏えい事実が確認されるとともに、他方で、遅くとも2022年10月24日に当サイトの決済機能を停止した段階で新たな情報漏えいは行われなくなったと考えられることが判明しました。

• 4月11日、外部専門業者を選定し、調査実施に向けた協議を開始しました。

• 4月24日、サイバーセキュリティを専門とする外部の弁護士に相談し、助言を得るとともに、今後の対応について連携を開始いたしました。

• 5月30日、外部専門機関から、技術的な調査の中間報告を受領しました。

• 6月5日、個人情報保護委員会に対する確報を行いました。

• 6月8日、鹿児島県警察に被害申告をいたしました。

• 6月9日、外部専門機関から、クレジットカード会員情報漏えいに関する調査の最終報告書を受領し、原因等の詳細が判明いたしました。

3.個人情報漏えい状況

(1)原因

当サイトのシステムの一部（EC-Cube）の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバー内に、クレジットカード決済実行時において処理されるクレジットカード情報を窃取するためのプログラムを埋め込まれたと考えられます。

(2)クレジットカード会員情報漏えいの可能性がある寄附者様及び項目　

クレジットカード情報に関する調査結果によりますと、2021年3月12日から2021年12月29日までの間に当サイトを通じてクレジットカード決済を行った寄附者様（910件）が対象となります。

漏えいした可能性のある情報は以下のとおりです。

　・クレジットカード番号

　・有効期限

　・セキュリティコード

　・Webサイトのログイン情報（eメールアドレス、パスワード）

　・電話番号（ご注文時にログインも会員登録もされていない寄附者様）

上記に該当する寄附者様には、判明次第、別途、個別にメール又は書面にてご連絡申し上げます。

(3)その他の個人情報漏えいの可能性について

クレジットカード情報以外の個人情報が漏えいした可能性については、現在も調査継続中です。判明次第、お知らせいたします。

4. 再発防止策

今後、本市及び保守管理会社は、次の再発防止策を実施いたします。

（1）本市のセキュリティ管理体制の見直し

外部専門業者及び弁護士の助言の下、個人情報漏洩リスク対応マニュアル及び志布志市情報セキュリティ運用指針の運用を見直し、本市が運営するWebサイトについて、適切な管理体制を構築します。

（2）外部委託先選定基準及び監督方法の見直し

志布志市情報セキュリティ運用指針に基づき、委託業者を選定するに当たっての留意事項を具体的かつ明確にするべく、外部委託先選定基準を明確化します。また、保守管理会社に対し志布志市情報セキュリティ運用指針及び情報セキュリティ対策特記事項を遵守するよう指導し、適切な監督を通じて適正なセキュリティ対策を実施します。さらに、保守管理会社に対し本市の基準に適合するセキュリティ運用規程の策定及び当該規程の運用並びにセキュリティ担当チームの運用の徹底を求めるとともに、情報漏えい事案を始めとするセキュリティインシデント等のモニタリングの強化を求めます。

（3）当サイトについて、保守管理会社は、本市と協議の上、以下の対策を実行します。

(1)サイトに利用しているソフトウェアの脆弱性対応の徹底

当サイトに利用しているソフトウェア全てについて、脆弱性情報の取得と対応を徹底するとともに、サイト全体の脆弱性の定期診断の実施を徹底します。

(2)セキュリティ・ソリューションの導入

本件では、Waf（Web Application Firewall）を採用した2021年12月29日以降、クレジットカード情報の漏えいは確認されておらず、Wafによる対策の効果が高い事案でした。今後も、Wafの使用を徹底してまいります。

また、不正侵入検知・防止に向けた更なるセキュリティ・ソリューションの導入・維持、及びその適切な運用を行ってまいります。

(3)重要ファイルの変更検知機能のチェック体制強化

今後、本件同様に不正なプログラムの埋め込み・プログラムの不正な改ざんが行われた場合、これを即時に検知し、情報漏えいを防止するために、サイト全体の重要ファイルの変更検知機能を搭載することを厳守し、変更検知を常に確認することが出来る体制、変更が検知された場合にどのような対策を実施するかの規程を作成し、重要ファイルの変更検知運用を徹底してまいります。

また、システム全体のログ記録の管理ポリシーを確立することで、不正なアクセスなどの記録を事後の調査に必要十分な期間、保管してまいります。

5.寄附者様へのお願い

本市では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めてまいります。

寄附者様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、寄附者様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましては寄附者様にご負担をお掛けしないよう、本市よりクレジットカード会社に依頼しております。

6.公表までに時間を要した経緯について

2023年4月6日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば漏えいの疑いがある時点で寄附者様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くおそれがあるため、寄附者様へのご迷惑を最小限に食い止める対応準備を整えてから行うべきと考え、また、初期的な調査からさらなる漏えいのおそれは小さいと判断されたことから、調査会社から調査結果を受領し、確実な情報をお知らせできるようにカード会社その他関係機関との連携を十分にとった上で公表することといたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

7.今後の見通しについて

引き続き外部専門機関によるデジタルフォレンジック調査等を進めており、クレジットカード情報以外の個人情報が漏えいした可能性等について調査してまいります。

そのうえで、最終的な調査の結果も踏まえて、外部専門機関や弁護士等の助言のもと、再発防止策の策定等に向けた取り組みを進めてまいります。

さらに、引き続き、個人情報保護委員会や警察をはじめとした機関への報告・連携も進めてまいります。

改修後の当サイトの再開日につきましては、決定次第、改めて本市Webサイト上にてお知らせいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-236】埼玉県 児童の個人情報を含む動画の流出について 2023年6月23日

県立特別支援学校坂戸ろう学園において、児童の個人情報を含む動画が一時的に外部から閲覧できる状態になる事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

１ 事故の概要

令和 5 年 6 月 16 日（金曜日）午後 5 時頃、県立特別支援学校坂戸ろう学園の職員 1 名が、自身の研究授業の動画を、同校職員に限定して公開する設定をして動画サイトに掲載した。

令和 5 年 6 月 17 日（土曜日）、動画サイトを閲覧した同校保護者が、同動画が職員以外にも閲覧できる状態になっていることに気付き、校長に報告し、事故が発覚した。

２ 個人情報の内容

 小学部児童 3 名の映像、氏名

３ 学校の対応

 6月18日（日曜日） 動画サイトから同動画を削除するとともに、当該児童3名の保護者に対して、事故の経緯を説明し謝罪した。

 6月22日（木曜日） 全保護者に対し文書で事故について報告するとともに謝罪した。

４ 再発防止策

 今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-235】鳥取県 県公式LINEプレゼント発送事務における個人情報の漏えいについて 2023年6月21日

この度、鳥取県公式LINEプレゼント発送事務において、当選者10人の個人情報が漏えいする事案が発生しました。

当事者の方々をはじめ、皆様にはご迷惑とご不安、ご心配をおかけしまして申し訳ございません。

当事者の方々に対し、謝罪と経緯の説明を行うとともに、今後、同様の事案が起きないよう再発防止策を講じて、個人情報の適切な管理に努めます。

１　事案の概要

事業者（鳥取市内飲食店）に当選者への発送を依頼する際に、誤ったメールアドレスに個人情報入りのファイルを送信したもの。

（１）漏えいした個人情報

当選者（10人分）の氏名、ふりがな、郵便番号、住所、電話番号

（２）経緯

・令和5年6月19日（月）21時53分頃　個人情報入りのファイルを誤送信

　　　　　　　　　　　　　　　　　　※事業者から聞取りしたメールアドレスを誤入力

・令和5年6月19日（月）21時56分頃　ファイルに設定したパスワードを送信

・令和5年6月20日（火）15時16分頃　事業者に電話連絡し、誤送信が発覚

２　当課の対応

・誤ったメールアドレスへ、謝罪と、誤送信メールの削除を依頼

・該当の10人へ謝罪と経緯の説明

３　発生原因・問題点

• 組織内で、個人情報のメール送信手順についての情報共有が不十分だった。
  （個人情報ファイルを送付する際は空メールを送信してメールアドレスを予め確認すべきだった。パスワードを伝える際は、電話でファイル受信を確認後に伝えるべきだった。）
• 組織内で、個人情報の流出時の対応手順についての情報共有が不十分だった。
  （所属内での情報共有が翌朝となったが、直ちに情報共有し、謝罪等の対応をすべきであった。）

４　再発防止策

• 個人情報をメールで送信しなければならない場合は、空メールを送信してメールアドレスを確認後、パスワード設定したファイルを送信するよう、徹底します。
• パスワードを伝える際は、電話でメール受信を確認後に伝えるよう、徹底します。
• 個人情報の流出時の対応手順について、課内で再確認したうえで、改めて個人情報の適正な取り扱いを行うよう注意喚起を行いました。

リリース文（アーカイブ）