【セキュリティ事件簿#2023-272】北海道大学病院における個人情報を含むUSBメモリの紛失について 2023年7月24日

このたび、本院臨床検査技師が、共同研究のために昭和大学病院より提供された患者様(178名分)の個人情報が保存されたUSBメモリを紛失する事態が発生しました。

本院では、個人情報の取扱いについて策定したガイドラインに基づき厳重な取扱いの周知徹底を図ってきたところですが、この様な事態が発生しましたことは、重大な問題であると受け止めており、関係の皆様に多大なご心配及びご迷惑をおかけしたことを深くお詫び申し上げます。

【USBメモリ紛失の概要】

本件は、令和5年7月3日（月）に当該臨床検査技師より、個人情報が保存されたUSBメモリを紛失した旨の報告が本院にありました。当該臨床検査技師が紛失したUSBメモリを最後に確認したのは令和5年6月29日（木）であり、ただちに学内各所の捜索、警察への遺失届を行いましたが、現時点において発見には至っておりません。

なお、現時点で本件の個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。

【紛失したUSBメモリに保存されていた個人情報】

昭和大学病院の患者情報（患者ID、氏名、生年月日、年齢、性別、診断名）178名分

【現在の対応状況】

今回の事態を受けて、対象となる患者様については、謝罪及び経緯を説明した文書を送付し、このことによる被害が発生した場合は、北海道大学病院または昭和大学までご連絡頂くよう案内いたしました。

【本院における個人情報等の機密情報の取扱いとの関連について】

本院では、「北海道大学病院における個人情報管理に関するガイドライン」を策定し、個人情報の持ち出しにあたっては、指定区域外へ持ち出す場合は誓約書を作成するなどの手続きを定めている他、要機密情報をUSBメモリ等の外部記録媒体に保存する場合には当該外部記録媒体を暗号化する、または、当該要機密情報を暗号化することとしております。

しかしながら、紛失したUSBメモリは、指定区域外に持ち出され、暗号化はされておりませんでした。

【再発防止に向けた今後の取組】

本院全教職員に対し、次のとおり周知徹底を図ってまいります。

1. 個人情報が保存された電子媒体の管理の強化・徹底
2. USBメモリ紛失による漏洩リスクと対策を題材にセキュリティ講習会を実施
3. 「北海道大学病院における個人情報管理に関するガイドライン」等に基づいて適正に管理することをあらためて注意喚起

事実関係の確認並びにUSBメモリに保存されていた内容を特定する作業に時間を要し、この時期の公表となりました。公表が遅れましたこと重ねて深くお詫び申し上げます。

今後は、個人情報の取扱いについて、教職員に対してより一層の厳重な取扱いの周知徹底を図るとともに、再発防止に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-271】近畿大学 学生・教職員のメールアドレス等の流出についてお知らせとお詫び 2023年7月13日

このたび、近畿大学奈良キャンパスで利用しているドメイン（nara.kindai.ac.jp）において、利用者のアカウント情報の一部が不正に取得され、漏えいしたことが判明しました。詳細は現在調査中ですが、アカウント情報3,549件の漏えいの疑いがあります。なお、今のところ、この情報流出による被害の報告はありません。

該当する方々には、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、原因の究明に努めるとともに、個人情報の取り扱いについてはさらに厳重に注意し、セキュリティ対策を強化して再発防止に努めてまいります。

１． 事案の内容

令和5年（2023年）7月10日（月）18:00頃、提携業者から、奈良キャンパスのドメイン利用者のアカウント情報の一部が、不適切なデータ交換が行われているウェブサイトに公開されている、との情報提供がありました。直ちに本学で確認を行ったところ、アカウント情報3,549件の漏えいの疑いがあることがわかりました。流出の経路や原因は現在調査中であり、未だ不明です。

２． 漏えいした可能性のある情報

近畿大学奈良キャンパスで利用しているドメイン（nara.kindai.ac.jp）におけるアカウント情報3,549件の「ユーザー名」「メールアドレス」

３． 対応

7月11日（火）、漏えい元となった情報へのアクセス制限を実施するとともに、奈良キャンパスの学生・教職員に向けて、当該事実の報告とパスワード変更及び2段階認証の設定依頼、2次被害に対する注意喚起を行いました。現在、流出経路の特定と原因の解明に努めています。

なお、本日までにこの情報流出による被害の報告はありません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-270】公立学校共済組合 個人情報漏えいについてお詫びとご報告 2023年7月25日

公立学校共済組合兵庫支部が保有している人間ドック受診決定者の個人情報について、人間ドックシステム保守業務を委託している業者（㈱ファインシステム）の不適切なデータの取り扱いに起因して、2020年度に実施した１医療機関分（301名）の個人情報が、インターネット上で閲覧可能な状況になっていたことが判明しました。なお、現在のところ、本件に関しての被害等の報告はございません。

今回の件でご迷惑、ご心配をおかけした皆さまにお詫び申し上げますとともに、再発防止に取り組んでまいります。

１ 事案発生の経緯と対応

（１）令和５年７月14日（金）

• 組合員の方から「インターネットで自分の名前を検索したところ、人間ドックの受診決定一覧が閲覧可能な状態である。」旨の連絡により発覚した。
• 人間ドックシステム保守管理業者である㈱ファインシステムに連絡し、業者のテスト公開用のサーバーに個人情報が含まれたファイルが存在していることを確認。直ちに当該ファイルが表示されないようサーバーのインターネット接続を切断
• 各検索サイト事業者に対して本件に関する情報の削除を依頼

（２）令和５年７月15日（土）削除完了

（３）令和５年７月18日（火）流出原因の調査、対応策の検討

（４）令和５年７月20日（木）

• 2020年度当該医療機関の人間ドック受診が決定した301名に対して本件に関するお詫び文書を発送

２ 漏えいした情報

｢2020年度人間ドック医療機関別受診決定者一覧｣のうち１医療機関 301名分

• 内容：組合員番号、所属名、所属電話番号、組合員氏名、当時の年齢、性別、住所（自宅・所属）
• 閲覧可能期間：令和２年12月17日～令和５年７月14日

 ※受診決定者の一覧にある氏名で検索した場合のみ表示される。

３ 漏えいの原因

（１）令和２年12月17日 ㈱ファインシステムが公立学校共済組合兵庫支部において 人間ドックシステムのメンテナンス作業を行った後、システムの修正内容を再確認するため、システムのプログラムデータをＵＳＢメモリにコピーし持ち帰った。※そのデータの中に個人情報の入ったデータが含まれていた。

（２）同日、ＵＳＢメモリにコピーしたプログラムデータを㈱ファインシステムのテスト公開用サーバーにコピーした。テスト公開用サーバーはインターネットに接続可能な状態にあったため、個人情報が含まれるデータは外部から閲覧可能な状況になっていた。

４ 今後の対応

（１） ㈱ファインシステムでは再発防止のため①USBを用いないデータ受渡作業 方法の検討②インターネットからアクセスできないサーバーでの作業の実施③サーバー適用作業時には複数人で確認するなどの措置を講じます。

（２） 公立学校共済組合兵庫支部では、改めて委託業者による個人情報の取扱いに係る責任体制の強化を求めるとともに個人情報の適正管理方法の周知徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-269】日本経済新聞社 メールアドレス漏洩の報告とお詫び 2023年7月21日

日本経済新聞社が20日（木）～21日（金）に大阪市で開催した「日経メッセ大阪」への来場を事前登録してくださった皆さまに案内メールを送信した際、受信者が他の事前登録者のメールアドレスを見られる状態になっていたことが判明しました。関係する皆さまに多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

当該メールは19日（水）午前8時30分ごろ、日経メッセ大阪の運営事務局（messeosaka@nikkeineon.jp）から来場事前登録者6,444人に対し、「日経メッセ大阪2023 いよいよ明日から開催」という件名で送信いたしました。本来であれば、お一人お一人個別にメールをお送りすべきところ、メール送信システムのプログラムの設定ミスによって最大1,000人にまとめて送信され、「To」に最大1,000人のメールアドレスがまとめて表示された状態となっておりました。

上記の事態は受信者からの問い合わせで発覚し、対象の皆さまには同日午後、お詫びと当該メールの削除をお願いするメールをお送りしました。個人情報保護委員会にも報告しました。

当社は今回の事態を深刻に受け止め、再発防止を徹底します。当該システムを速やかに改修するとともに、個人情報の管理を一層強化いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-268】鹿児島県日置市の市立校で、サポート詐欺に騙されて市内20校の校務システム停止

最近、インターネット上でのサポート詐欺が増加しています。特に、偽の警告表示を用いてユーザーを驚かせ、不正なソフトウェアのインストールや金銭の要求を行う手口が確認されています。鹿児島県日置市の市立校も、このような詐欺の被害に遭ってしまいました。

事件の概要

• 発生日: 2023年7月12日
• 被害校数: 20校
• 影響: 校務系システム一時停止、通知票の配布遅延

事件の経緯

日置市の市立校の職員がインターネットで資料の検索を行っていた際、突如として「電源を切らずにマイクロソフトのサポートセンターへ接続してください」というポップアップが表示されました。この偽の警告に従い、職員は指定された連絡先に電話をかけ、指示通りにソフトウェアのインストール操作を行ってしまいました。しかし、後に料金が発生するとの説明を受け、不審に思った職員は電話を切断しました。

翌日、該当のパソコンを起動すると「ウイルスに感染した」というメッセージが表示され、事件が発覚しました。このパソコンは、通知表のデータなどを管理する市のサーバーと接続されていたため、感染のリスクを考慮し、市教育委員会は各学校が使用する共通のシステムを5日間停止しました。

事件の影響

この事件の影響で、校務系システムが一時停止。結果として、多くの学校で終業式当日に通知票を配布できない事態となりました。特に、20ある小中学校の一部では、予定通りの通知表の配布が困難となっています。

今後の対応

日置市教育委員会は、この事件を受けて、市内の学校に対してサポート詐欺の問題を含めた注意喚起を行いました。また、夏休み期間中に各学校でセキュリティポリシーに関する研修を実施する予定です。

この事件は、インターネットの安全利用の重要性を再認識させるものとなりました。偽の警告や詐欺的な内容には十分注意し、不審な表示や連絡があった場合は、すぐに関連する専門機関やサポートセンターに相談することが求められます。

出典：サポート詐欺で市内20校の校務システム停止、通知票配れず - 日置市

MIATモンゴル航空、ワンワールド・アライアンスへの加盟を検討

Oneworldアライアンスは、モンゴルの国営航空会社を新たに迎え入れる可能性が高まっています。これは、現在4機のボーイング737と1機のボーイング767を保有する小規模な国営のMIATモンゴル航空にとって大きなステップとなります。また、先月には、経営難の海南航空からの中古のボーイング787-9を受領しました。この機体は最新の1-2-1ビジネスクラスを備えています。

MIATモンゴル航空は、これらのボーイング787-9をモンゴルの首都ウランバートルからフランクフルト、イスタンブール、ソウルへ飛ばす予定であり、サンフランシスコへのノンストップルートも検討中です。そして、Oneworldへの参加は、その国際的な拡大戦略に役立つと、MIATモンゴル航空のCEO、Munkhtamir Batbayar氏は述べています。

Batbayar氏は、航空会社の将来の飛行経路に関するCNNとのインタビューで、提携の重要性を強調し、キャセイパシフィック航空と日本航空（JAL）とのコードシェアを含め、「私たちは積極的にOneworld Connectプログラムに参加することを追求しています。キャセイパシフィック航空と日本航空という2社との提携は大きな存在です」と付け加えました。

「Oneworld Lite」とも呼ばれるOneworld Connectプログラムは、完全なOneworldメンバーシップの高いコストと複雑さがなく、小規模な航空会社に適しています。Oneworld Connectは2018年に、アメリカン航空、ブリティッシュエアウェイズ、キャセイパシフィック航空、カンタス航空によってスポンサーされたフィジーエアウェイズを初のメンバーとして開始されました。

MIATモンゴル航空は、キャセイとJALをスポンサーとして、2番目のOneworld Connectのメンバーとなるでしょう。

出典：MIAT Mongolian Airlines looks to join Oneworld

エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン

（ダイジェスト版）

1. 背景と導入:  

モバイルデバイスは、個人の通信デバイスから企業の主要なツールへと進化してきました。これらのデバイスは、機密データの処理やネットワークへのアクセスに使用されています。そのため、セキュリティの確保が不可欠となっています。このガイドラインは、企業がモバイルデバイスのセキュリティリスクを理解し、適切な対策を講じるためのものです。

2. モバイルデバイスの特性:

現代のモバイルデバイスは、通信や情報へのアクセスを提供するだけでなく、企業のネットワークやシステムにアクセスするためのプラットフォームとしても機能します。これには、スマートフォンやタブレットなどのデバイスが含まれます。これらのデバイスは、高度な計算能力とストレージ容量を持ち、クラウドサービスやエンタープライズリソースにアクセスする能力を持っています。そのため、これらのデバイスのセキュリティは、企業のITセキュリティ全体の一部として考慮されるべきです。

3. セキュリティ上の懸念:

モバイルデバイスの普及に伴い、モバイルマルウェアや脆弱性が増加しています。これらの脅威は、デバイス、モバイルアプリ、ネットワーク、管理インフラストラクチャに影響を及ぼす可能性があります。特に、公共のWi-Fiネットワークを使用する際のリスクや、不正なアプリケーションのインストールによるリスクが高まっています。さらに、デバイスの物理的な紛失や盗難も、データ漏洩のリスクを増加させる要因となります。

4. セキュリティ技術: 

モバイルデバイスのセキュリティを強化するための技術として、エンタープライズモビリティ管理 (EMM)、モバイル脅威防御 (MTD)、モバイルアプリケーション審査 (MAV) などがあります。これらの技術は、デバイスの管理、アプリケーションのセキュリティ、データの保護、ネットワークのセキュリティを強化するために使用されます。EMMは、デバイスの設定、アプリケーションの配布、データの保護を一元的に管理するためのソリューションを提供します。MTDは、モバイルデバイス上の脅威を検出し、対応するための技術です。MAVは、モバイルアプリケーションのセキュリティを評価するためのプロセスやツールを提供します。

5. 対策とカウンターメジャー:

モバイルデバイスのセキュリティリスクを軽減するための推奨対策として、EMM技術の導入、ソフトウェアの迅速な更新、OSとアプリの隔離、モバイルアプリケーションの審査、モバイル脅威防御、ユーザー教育などが挙げられます。特に、ユーザー教育は、セキュリティインシデントの発生を防ぐ上で非常に重要です。ユーザーは、セキュリティのベストプラクティスやポリシーを理解し、適切に遵守する必要があります。

6. モバイルデバイスのライフサイクル:

モバイルデバイスのセキュリティを維持するためには、デバイスのライフサイクル全体を通じて一貫したアプローチが必要です。これには、要件の特定、リスク評価、モビリティ戦略の実装、運用と保守、デバイスの廃棄や再利用が含まれます。デバイスの適切な廃棄は、機密データの漏洩を防ぐために特に重要です。デバイスの再利用やリサイクルの際にも、データの完全な消去やデバイスのリセットが必要です。

7. 結論:

モバイルデバイスは企業のIT環境において不可欠な存在となっています。そのため、これらのデバイスを安全に管理・利用するための適切なガイドラインと戦略の導入が求められています。NISTのこのガイドラインは、モバイルデバイスのセキュリティを向上させるための実用的なアドバイスを提供しています。企業は、このガイドラインを参考にして、モバイルデバイスのセキュリティポリシーとプロセスを策定・実施することが推奨されます。このガイドラインを適切に適用することで、企業はモバイルデバイスを安全に使用し、ビジネスの効率と生産性を向上させることができます。

参考：NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

出典：Guidelines for Managing the Security of Mobile Devices in the Enterprise

【セキュリティ事件簿#2023-267】茨城県 茨城県発達障害者支援センターにおける個人情報の漏洩について 2023年7月14日

茨城県が社会福祉法人同仁会に委託して実施している茨城県発達障害者支援センター「COLORS つくば」において、個人情報が漏洩する事案が発生いたしました。

今後二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 概要

（１）状況

• 市町村職員向け研修の実施にあたって、申込みの受付を Google フォームにより行ったが、誤って申込者全員の情報が Google フォーム上から確認できる状態になっていた。
• 研修当日の７月 12 日に、参加者から問合せがあって申込時の情報を確認したことから、設定の誤りに気付いた。
• 申込は６月 12 日に開始し、７月３日に締め切ったが、Google フォーム上から確認できる状態は、７月 12 日の午前 11 時頃まで続いていた。

※既に申込者全員に対して、状況を説明し、謝罪しております。

（２）漏えい件数

研修申込者の氏名、所属、年代、メールアドレス、電話番号 58 人分

２ 原因

Google フォーム作成時に、設定の確認を十分に行わなかったため。

３ 再発防止策

委託先である社会福祉法人同仁会に対し、以下の再発防止策等の徹底を指示する。

• Web フォーム作成時には、複数職員で確認を行う。
• Web フォーム作成ツールに不慣れな職員も対応できるように、マニュアルを作成し、適切な利用を徹底する。
• その他の業務においても、個人情報保護に必要な措置の点検を行い、改めて職員に対する教育を行う。

また、他の委託事業者に対しても、個人情報の取扱いについて、改めて内部における責任体制を明確にし、管理を徹底することを求める。

リリース文（アーカイブ）