事業委託先の「株式会社ギラヴァンツ北九州(以下、ギラヴァンツ北九州)」の担当者が、8月2日(水)開催予定の「ドリームスポーツ体験教室」の参加者に対し、会場の位置図等の案内をメールで一斉送信した。
メールを受信した方から市スポーツ振興課の事業担当者に対し、メールが「TO(宛先)」で一斉送信されている旨の指摘があり、ギラヴァンツ北九州に確認したところ、上記のメールが「TO(宛先)」で一斉送信されていたことが判明した。
2 現在の対応状況
メールの誤送信先(メールアドレスの所有者42名/件)に対し、市から電話にて事態のお詫びを申し上げ、送信されたメールの削除をお願いしている。
なお、現時点で、メールアドレス公開に伴う被害の報告はない。
3 原因及び再発防止策
メール作成者が確認を怠り、対象者全員を「TO(宛先)」のまま送信したとのことであった。
このため、事業委託先であるギラヴァンツ北九州に対し、
(1)メール送信時のチェックリストを新たに作成し、ダブルチェックを徹底すること
(2)社員に対し、情報セキュリティに関する研修を実施すること 等
注意喚起を行うとともに、管理強化について指導を行った。
当行の顧客データベースに業務上のアクセス権限を有する本行員が、私的な郵便を送付する目的で、4 名の特定のお客様の氏名や住所を確認するために、当行の顧客データベースを閲覧し、本行員が個人的に依頼した弁護士に当該お客様の氏名、住所を開示したことが判明しました。
当該お客様の氏名、住所、預金口座情報、取引情報、預り資産・ローン等の状況、職業、勤務先等のデータ(下線部は弁護士に開示した情報。それ以外は、漏えいのおそれがある情報)。なお、本行員によれば、当該弁護士に対して氏名及び住所以外に閲覧した個人データは開示していないとのことです。
当行は、従業員に対して、顧客データベースの私的な利用を固く禁じていたものの、本行員が自らの私的な目的のために利用しようとしたことが原因です。
現在、本行員には、当行の顧客データベースへのアクセスを禁止しております。また、当該お客様 4 名のうち 3 名に対しては、7 月 21 日までに郵送により、謝罪及び事実のご報告を行いましたが、残り 1 名の方にはご連絡がついておらず、この公表により謝罪及び報告に代えさせて頂きます。
なお、この公表以降に、当行からお客様皆様に対して個人情報や口座情報についてお伺いしたり、通帳等の確認を要求したりするなど、個別に連絡をとることは一切ございません。当行になりすました連絡には対応されませんよう、ご注意ください。
当行は、今回の事態を重く受け止め、個人情報の取扱いに関する安全管理を改めて徹底するほか、当行の従業員に対して個人情報保護の教育を実施するなどして周知に十分に努め、再発防止に向けて全力で取り組んでまいります。
成田空港へのアクセスには多くの選択肢があるが、「成田エクスプレス」は新宿や大船辺りから鉄道で乗り換えなしで行く場合の有力な選択肢の一つ。成田エクスプレスは、1991年から首都圏の主要駅と成田空港を結んでおり、その快適な車内とバスと比較した際の時間の正確さで多くの旅行者から支持を受ける一方、料金が高いのが大きなデメリットでもある。そこで、今回はJREポイントを活用することで、成田エクスプレスをよりお得に利用する方法を検討してみる。
JREポイントとは、JR東日本が提供するポイントサービスで、Suicaの利用や「えきねっと」を通じての予約・購入でポイントが貯まる。貯まったポイントは、特急券の購入やSuicaへのチャージ、さらには商品への交換など、様々な方法で利用することが可能。
JREポイントはJALのマイルに交換することも可能なため、基本は使わないのだが、先日JREポイントの履歴を見ていたら、見慣れぬものを発見。
この期間限定ポイントの使途をいろいろ思案していると、JREポイントを利用して、成田エクスプレスの特急券を購入することができる事が分かった。
ちょうど直近で成田空港に行く用事があり、有難く使わせていただくこととなった。
東京から成田空港までの通常の特急料金は1730円だが、JREポイントを使用すると、720ポイントで発券が可能となる。
今回は期間限定の500ポイントと220ポイントを使って、特急券を無料でゲットした。
JREポイントはあまり使い道が無いと思っていたが、意外と役に立った。
令和5年7月24日付けで公表しました標記について、公表内容に2点誤りがあることが判明いたしました。
1 概要
(1) 今回の個人情報漏えいについて、大学からの申込者に対する謝罪メールを受信した方から、「判明日が7月21日(金)の夜とあるが、7月13日(木)にフォームの異変に気づいて職員にメールで連絡した際に、全回答が見られるようになっていることを伝えた」とのメールによる通報がありました。
これを受けて、改めて関係職員から、聞き取りを行うなど事実関係を調査した結果、次のとおり事実認定を訂正する必要があることが判明しました。
<訂正内容>
〇大学が事案を認知した日(判明日)
当初公表内容:7月21日(金)の申込者からの電話
(電話を受けて直ちに作業を行い、同日深夜(24:30)に措置完了)
今回公表内容:7月13日(木)参加希望者からの職員へのメール
(職員数人で作業を行ったが、改善措置が完全でなく、個人情報が閲覧できる状態が7月21日(金)まで継続)
<訂正が生じた理由>
7月13日(木)に相談を受けた職員は、申し込みフォームに不備があったことを認知し、改善措置の作業は行ったが、実際には知識不足のため措置完了に至らず、また、個人情報に対する認識不足のため、上司に報告していなかった。
(2) QRコードを経由してアクセスした場合に限った発生事象としていましたが、これに加えて、7月12日、13日の2日間は、ホームページに掲載の申し込みフォームからアクセスした場合も、その時点で申込済の23名全員の情報が閲覧できる状態にあった可能性が高いことが判明しました。
<訂正内容>
〇個人情報を閲覧できるケース
当初公表内容:案内チラシのQRコードを経由して申し込みフォームにアクセスした場合のみ
今回公表内容:上記に加えて、7月12日、13日において、ホームページを経由して申し込みフォームにアクセスした場合
<訂正が生じた理由>
学内の原因究明の進捗による。
2 判明後の対応及び今後の対応
7月13日(木)時点での対応が十分であれば、個人情報の漏えい期間短縮等が可能であったことについて、改めて関係者にお詫びしたほか、情報セキュリティ委員会を中心に再発防止策を検討し、個人情報保護に関する意識醸成をはじめとする具体的対策を決定したところです。
なお、現時点では、個人情報が悪用されたとの申し出はありません。
事務組合 A の担当者 B に対して、職員 C は、特別加入に関する変更届の添付資料として特別加入者の辞任年月日がわかる証明書か通知書を、メールかFAX で送信するように依頼。職員 C は、担当者 B に誤った FAX 番号を伝達したため、担当者 B は、誤った番号に証明書等を FAX 送信した。
事務組合 A に対して、F 氏から間違って証明書等が送られているとの電話連絡があり、F 氏から書類を破棄する旨伝えられた。その後、事務組合 A から徴収室へ連絡があり、職員 C が FAX 番号を誤って伝えていたことが判明した。
事務組合 A 及び D 事業場並びに F 氏に直接謝罪を行うとともに、E 氏については、D 事業場を通じて謝罪を行い、謝罪を受け入れていただいた。なお、F 氏に誤送信された書類全ては、前日に事務組合 A に電話連絡後、F氏がひとりで職場のシュレッダーで破棄したことを F 氏に謝罪の際に確認した。
関係先が FAX でのやりとりを希望する場合も、メールや郵送等 FAX 以外の方法に切り替えしていただくようお願いする。
緊急時等やむを得ず FAX を利用する場合には、関係先へ FAX 番号が記載された書面を送付する等確実な方法で伝達する。
なお、関係先あて FAX を利用する際に番号のダブルチェック等誤送信をしないようお願いする。