【セキュリティ事件簿#2023-297】専修大学　教員個人情報の学内ネットワークシステムへの誤掲載について（お詫び）　2023年7月5日

専修大学において、現職教員 (名誉教授を含む) のみが利用可能なネットワークシステム上に、現職教員及び退職教員あわせて5261名分の個人情報を語って掲載する事案が発生しました。掲載された個人情報は、教員番号、氏名、生年月日、性別、住所 (郵便番号を含む) 、電話番号、所属学部、専任・兼任の区分及び退職日（退職教員のみ）であり、掲載された時間は令和5年6月27日午後6時35分から同月28日午前9時2分までの14時間27分でした。この間に当該個人情報を閲覧又はダウンロードを行った者は12名であることが判明しており、これらの者に対して、すでに当該個人情報の削除依頼を行い、削除が完了したことを確認しております. したがって、当該個人情報の学外への漏洩はありません。

今回このような事案が発生し、現職教員及び退職教員をはじめ聞係者の皆様に大変なご迷惑をおかけすることとなり、深くお詫び申し上げます。今回の事態を深く受け止め、今後、このようなことがないように、原因究明と再発防止を徹底いたします。

リリース文

参考：専修大学、教員専用ネットワークに5,261名の個人情報を誤公開

【セキュリティ事件簿#2023-296】株式会社パソナ（事業再構築補助金事務局）　第１０回公募における個人情報を含む応募事業者情報の流出について　2023 年 8 月 3 日

2023 年 6 月 30 日に締め切りました第 10 回の公募における応募事業者に関する情報を掲載したファイルを、当該事業の事務局業務受託者である弊社から誤って応募事業者 10 者にメールで送信する事案が発生致しました。

このような事態を招き、応募事業者をはじめ関係者の皆様に大変ご迷惑をおかけすることとなりましたこと、深くお詫び申し上げます。

なお、誤って送信された 10 者の方に対し、当該メール及び添付のファイルの削除を依頼し、全者で削除いただいたことを確認しております。

また、対象となります応募事業者の皆様へは別途、お詫びのご連絡をさせていただいております。

弊社といたしましては、今回の事態を厳粛に受け止め、今後このようなことが起こらぬよう、適切な情報管理を行ってまいります。

１．流出日時 2023 年 8 月 1 日（火）11 時 40 分頃

２．流出先 10 者

３．流出した応募事業者情報及び件数

受付番号、応募事業者名、担当者氏名、担当者メールアドレス、gBizID 11,036 件

リリース文（アーカイブ）

【搭乗記】日本航空JL3083　成田空港（NRT）⇒セントレア（NGO）

東京からセントレアを経由してハワイに行きます。

何故セントレアから出発か？それはホノルル行きのビジネスクラス特典航空券がセントレア発しかなかったから。

ビジネスクラス特典航空券のためなら国内乗り継ぎなんてエンヤコラです。

今回は成田発なので出発は東京駅。成田エクスプレスで向かいます。

運賃が高いことで有名な成田エクスプレス、期間限定のJREポイントがあったのでこれを特急券に交換し、事実上乗車券分の料金だけで移動することができた。

JR使うとJREポイントも貯まるしね。

成田エクスプレスは総武線と同じホームで東京駅の地下深いホームになるのだが、エスカレーター6本のうち5本が上り線用という、なんかイマイチな感じ。

成田エクスプレス自体は金額が高いことや全席指定ということもあって、混んでいなかった。

乗車率は10%～20%といった感じ。成田エクスプレスはちゃんと収益化できているのか若干不安を感じた。

東京駅から成田空港までは1時間程度。JALは第2ターミナルなので、終点の一つ前である「空港第2ビル」で降りる。

降りたら表示の通り進んで、国内線のカウンターに向かう。

「日本航空」のフォントに時代を感じる。

成田からどれくらい便が出ているのかが気になったので、出発便の一覧を見てみる。

ぱっと見いっぱいあるが、よく見るとほとんどが第3ターミナルからの出発。恐らくジェットスターとのコードシェア便だな。

セントレア乗り継ぎのホノルル行きまでスルーチェックインをしてもらう。

スタッフの方に「成田発の国内線は乗ったことありますか？」と聞かれたので、初めての旨答えると、親切に搭乗口までの流れを簡単に説明してくれた。

今回の搭乗ゲートである「P」は最も遠い場所にあり、保安検査場から10分（！？）くらいかかること、保安検査場から先は売店が無い（閉まっている）ので気を付ける旨教えていただいた。

あと、カウンターにラグビーのステッカーがあったので1枚頂いておいた。

早速保安検査場に向かうが、保安検査場までも意外と遠い。

チェックインカウンターからエスカレーターを上がって、、、

人気のない通路をひたすら進む。

保安検査場は1レーンしかなく、結構な行列だった。

ちょうど次が自分の番というところで、クルー一行が来たので、チーフパーサーの方に順番を譲ったら、その方が搭乗機のクルーで、その後セントレアに着くまでに計5回くらいお礼を言われた。

逆にこちらが恐縮してしまうくらいだったが、いいことをした後は気持ちがいいものですな。

保安検査場を抜けてサクララウンジに直行する。

広さ的には羽田の1/4～1/5程度といった感じだろうか？

ただ、ラウンジから飛行機を眺めることはできない構造だった。

ラウンジには減塩柿の種があり、少しだけ頂いてラウンジを出発。

途中、このターミナルからの正味の出発案内を発見。さ、3便でござるか～

そりゃ、当然売店も閉鎖する。

そして人気のいない通路をひたすら進む。あと8分。

あと3分（途中「あと5分」の看板もあったが、撮り忘れた・・・）

ついに搭乗ゲート到着。

「本日は国際線機材のため、機内WiFiサービスは使えません。申し訳ありません」とのアナウンス。

成田-名古屋線は国際線機材がデフォじゃないんだっけ？

というか、国際線機材なので、逆に喜ばなければならない気がする。

程なくして搭乗開始となり、早速機内に潜入。

今回の機材はB767でした。

国際線機材なので、ClassJはビジネスクラスになります。

SKY SUITEⅡは初体験。

SKY SUITEⅢよりもSKY SUITEⅡの方が評判がいいですが、その理由が何となくわかった気がする。

SKY SUITEⅢは以前体験したことがあるけど、少し圧迫感がある。SKY SUITEⅡはその圧迫感が無いですね。

のんびりしているうちに離陸。

せっかくのSKY SUITEⅡなので、リクライニングしてのんびり本を読んでいたら、あっという間にセントレア到着。

セントレアは搭乗ゲートに比較して飛行機がいつも少ない印象だが、国際線の出発便を見る限りそうでもないのか・・・。

ただ、ショッピングエリアはかなり活気があった。世界の山ちゃんやコメダ珈琲も出店していて、オール中部エリアで盛り上げている感じ。

また、セントレア自体はSAMURAIとNINJAを活用して知名度アップを図っている模様。

空港内の広場では忍者のショーもやっていた。

子供たちが結構多かったので、近所の家族が来ているんだろうな。

地域住民に愛されている空港って感じでいいね。

【Playback of flight JL3083 on 9 SEP 2023】

【セキュリティ事件簿#2023-295】陸上貨物運送事業労働災害防止協会　メールの誤送信について　2023年07月12日

この度、当協会から「テールゲートリフターによる特別教育インストラクター講座受講特典について」に関するメールを送信した際に、同報者にメールアドレスが表示される形になっていたことが判明いたしました。

このような事態を招きましたことを深く反省するとともに、関係者の皆様には多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

１　経緯

当協会が、7月7日(金)にテールゲートリフター特別教育インストラクター講座を開催した際、受講者に交付した資料の一部に不備があったため、受講者に対し当該資料を週明けにメールで送付する旨伝達した。

7月10日(月)、当協会において受講者あて資料送付メールを発信したところ、受講者のメールアドレスをBccとすべきところCcとしてしまい、受講者のメールアドレスが流出した。

送信後すぐに誤りが判明したため、当該メールの宛先である全受講者に対し、お詫びと受信メールの削除を依頼するメールを送信し、改めて資料を送信した。

２　流出情報

４８人分のメールアドレス（氏名、会社名、電話番号等その他の個人情報は含まれておりません。）

３　発生後の対応

全受信者に対し、お詫びと当該メールの削除依頼のメールを送信いたしました。

４　再発防止対策

今回の事態を重く受け止め、複数の宛先にメールを送信する際には、複数名での確認体制を徹底するとともに、個人情報保護教育の徹底と、管理体制の更なる強化に取り組み、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-107】株式会社NTTドコモ　【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び　2023年7月21日

2023年3月31日（金）、株式会社NTTドコモ（以下、ドコモ）が「ぷらら」および「ひかりTV」※1に関する業務を委託している企業において業務に使用しているパソコンからお客さま情報が流出した可能性があることをネットワーク監視によって確認したことについてお知らせしておりましたが、その後の内部調査などにより、業務委託先である株式会社NTTネクシア（以下、NTTネクシア）の元派遣社員が、お客さま情報を含む業務情報を不正に外部に持ち出したことがわかりました。

不正に外部に持ち出された情報について、現時点では第三者による不正利用などは確認されておりませんが、このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

なお、本事案の対象となるお客さまには、順次個別にご連絡をさせていただきます。

1. 本件の概要

ドコモが「ぷらら」および「ひかりTV」の販売支援業務を委託しているNTTネクシアにて業務に従事していた元派遣社員が、業務に使用しているパソコンから個人として契約する外部ストレージへアクセスし、2023年3月30日（木）にお客さま情報を含む業務情報を不正に持ち出しました。

（1）不正に持ち出されたお客さま情報の件数

約596万件

2023年3月31日（金）のドコモからのお知らせでは最大約529万件としていましたが、その後の調査の結果、持ち出された件数は約596万件とわかりました。

（内訳）
・個人向けインターネット接続サービス「ぷらら」のお客さま情報　165万件　
・「ひかりTV」のお客さま情報　　431万件
※既に解約されたお客さま情報も含みます。
※「ぷらら」と「ひかりTV」両サービスをご利用のお客さまについては、「ぷらら」の件数に含まれております。

（2）不正に持ち出されたお客さま情報の内容

個人向けインターネット接続サービス「ぷらら」のお客さま情報
氏名/住所/電話番号/フレッツ回線ID/お客さま番号の一部
「ひかりTV」のお客さま情報
氏名/住所/電話番号/メールアドレス/生年月日/フレッツ回線ID/お客さま番号の一部

※クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

２．発覚の経緯とドコモの対応

NTTネクシアで業務に従事していた元派遣社員が使用していたパソコンから業務では行うことがない外部への通信が発生したことを、2023年3月30日（木）にネットワーク監視によって検知しました。

直ちに、当該のパソコンをネットワークから隔離したうえでのフォレンジック調査※2、同一ネットワーク内のすべての端末のログ・状況の確認、およびNTTネクシアと共同で元派遣社員本人へのヒアリングなどを実施し、持ち出された可能性のあるファイルの特定を進めてまいりました。

また、内部調査を継続するとともに警察へ相談も行っており、捜査に協力してまいりました。

現時点では、外部ストレージへの第三者によるアクセスや当該情報の不正利用については確認されておりませんが、引き続きインターネット上の監視および事実確認を行ってまいります。

今後新たな事実がわかった場合は、ドコモのホームページにてお知らせいたします。

3. 今後の対応と再発防止策

ドコモは今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて努力いたしますとともに、同様の事態が再び発生しないよう、お客さま情報を取り扱う全業務について再点検を実施、同様の環境で業務を行っていたものについて是正措置を完了しております。

今後、業務委託先を含め個人情報管理体制の一層の強化を図ってまいります。

4. お客さまへのご対応について

本事案の対象となるお客さまには、準備が整い次第、順次個別にご連絡をさせていただきます。

ご連絡は、メールまたは郵送にて実施いたします。なお、ご連絡内容本文にはインターネットサイトへのリンク先URLは記載いたしません。

なお、「ぷらら」および「ひかりTV」のご契約状況によっては、一人のお客さまに複数のご案内が届く場合がございます。

今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて努力いたしますとともに、同様の事態が再び発生しないよう、業務委託先を含め個人情報管理体制の一層の強化を図ってまいります。

※1：本事案の「ひかりTV」に含まれるサービスは以下のとおりです。

・ひかりTV　　・ひかりTV（アプリ利用）・ひかりTV ショッピング・ひかりTVミュージック　・ひかりTV ゲーム　・ひかりTV ブック

※2：フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出したり、サーバや通信機器などに蓄積された通信記録か違法行為の証拠となる活動記録を割り出し、記憶装置から証拠となるデータを割り出すなどの調査のことです。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-294】宇部市教育ネットワーク内における個人情報の漏洩について　2023年8月4日

1　事案の概要

宇部市教育ネットワーク内におけるグループウェア（Microsoft　Teams）の利用において、プライバシー設定の誤りにより、小学校児童の個人情報の一部が漏洩したことが判明しました。

なお、本事案については、宇部市教育ネットワーク内における情報漏洩であり、閲覧は、小中学校の児童生徒及び教職員用端末に限定されます。

2　事案が判明した経緯

8月2日（水曜日）、児童が持ち帰った1人1台端末でグループ内の情報を閲覧した保護者からの通報により判明。

3　事案発生の原因

教職員がグループを作成する際に、プライバシー設定を誤って「パブリック（公開）」としたことにより、363グループ中5グループについて、グループ外のネットワーク利用者も閲覧可能となっていた。

4　漏洩した（閲覧が可能であった）児童の個人情報

小学校1校（1グループのみ）

指導資料（学級・氏名のイニシャル〈1文字〉・生活の様子）
班別名簿（111名の氏名）

5　事案発覚後の対応

閲覧可能であった5グループについて、設定変更または削除により対応

6　再発防止策

グループ作成時の「プライベート（非公開）」設定など、個人情報の適切な管理について、教職員に再度、周知・徹底を図る。
教育委員会が定期的に設定状況を確認する。

7　教育長のコメント

このたび、教育ネットワークにおけるグループ作成時の誤設定により、個人情報の漏洩が発生し、該当校の児童や保護者をはじめ、市民の皆様に御心配をおかけしたことに対して、深くお詫び申し上げます。

教育委員会としましては、電子情報及び個人情報の取り扱いについて、より一層の指導の徹底を図り、教育行政及び学校教育の信頼回復に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-215】コクヨ株式会社　（開示事項の経過）当社グループ情報システムに対する外部攻撃について　2023年8月7日

2023年6月8日付「当社グループ情報システムに対する外部攻撃について」にて開示いたしましたとおり、このたび、当社グループの一部情報システムに対する外部攻撃（以下「本件」といいます。）が発生しました。

今般、外部調査機関による調査を実施し、当該調査結果等に基づき個人情報保護委員会に確報を提出いたしましたので、本件の概要等につきまして、下記のとおりお知らせいたします。

なお、本件とは別に、当社が利用する人事システムのベンダーがランサムウェア攻撃を受けました。現時点では個人情報の流出は確認されておらず、また当社グループの事業運営への影響は限定的であり、当社グループの業績への影響も軽微と見込まれています。

１.本件の概要等

2023年6月5日、当社グループのサーバに対して侵害活動が行われていたことが確認されました。本件は何者かが当社の海外現地法人側の当社グループのネットワークに侵入したことにより発生したと考えられます。その後、攻撃者は、ランサムウェアを作成及び実行することにより、データを暗号化したものと考えられます。

現時点では、本件によって当社が保有する個人情報を含む各種情報が外部へ流出した事実や、攻撃者による当社情報の公開は確認されておりません。また、ネットワークログに記録されている外部転送関連のデータ通信量が僅かであったため、外部調査機関からはデータが外部へ漏洩した可能性は極めて低いと考えられるとの報告を受けております。

２.今後の対応

上記１．記載のとおり、現時点で当社グループが保有する個人データが外部へ漏洩した可能性は極めて低いと考えられ、現時点で、本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりませんが、一方で約186万件の個人データは漏洩の可能性を完全には否定することが困難な状況となっております。したがって、該当の方に対しては本日以降順次ご通知申し上げる予定です。

当社グループでは、これまでも当社グループの情報システムへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を真摯に受け止め、外部の専門家と検討の上、今後も継続的に強化してまいります。

関係者の皆様には多大なご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

なお、本件による業績予想の変更はありません。

リリース文（アーカイブ）