【セキュリティ事件簿#2023-327】長野県 公用パソコンからの個人情報流出の可能性について 2023年8月24日

長野県
 

県立高等学校の公用パソコン1台から、個人情報を含むデータが流出した可能性が否定できない事案が発生しました。

関係する皆様及び県民の皆様に深くお詫びいたします。

今後、このような事態が発生しないよう、情報の適正な管理を徹底し、再発防止に努めてまいります。

概要

令和5年8月20日(日)、北信地区の県立高等学校教諭が、自身の携帯電話に料金未払いの連絡を受け、示された電話番号を公用パソコンで検索したところ、トロイの木馬への感染を示す警告画面と連絡先が表示された。その連絡先へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われてしまった。

なお、調査可能なパソコンの操作ログには情報が流出したという記録はなく、また、現時点では本事案により情報が流出した事実は確認されていないものの、流出の可能性を完全には否定できない状況である。

 〇対象となりうる個人情報(平成28年度から令和5年度)

  ・生徒に関する情報(名簿、成績、進路指導・生徒指導・部活動に関する資料)

  ・職員に関する情報(氏名、電話番号、生年月日)

  ・外部指導者に関する情報(氏名、住所、電話番号、職業)

事実経過

8月20日(日) 事案発生、管理職へ報告

8月21日(月) 専門業者による操作ログの調査を開始

8月22日(火) 警察に相談

8月23日(水) 操作ログの調査結果を確認

        生徒、保護者、卒業生等に事情の説明と謝罪を開始

今後の対応策

(1)引き続き関係者への事情の説明と謝罪

(2)再発防止対策

   ・情報管理に関するマニュアル等の再点検・見直し

   ・情報の適正な管理の徹底

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-326】ミライフ東日本 個人情報流出に関するお詫びとご報告 2023年8月15日


このたび、弊社ホームページの「お問い合わせフォーム」におきまして、お客さまが入力された情報を第三者が閲覧できる状態となっていたことが判明いたしました。お客さまの大切な個人情報を流出させてしまったことを深くお詫び申し上げます。

個人情報が表示された可能性のあるお客さまには、すでに個別にご連絡を差し上げております。

今回の件は、ウェブサイト運営に関し、弊社の管理監督が行き届かなかったことに起因しております。また、弊社として初めて直面した事態であったこともあり、原因究明や対応策の決定、お客さまへのご連絡に大変時間がかかってしまったことも深く反省しております。

今後はお客さまの個人情報を取り扱ううえでの責任の重さを再確認し、再発防止に努めますとともに、情報セキュリティの向上に全社を挙げて取りくんでまいります。

経緯

2023年6月24日(土)夕方、弊社ホームページのお問い合わせフォーム確認画面で、他者の情報があらかじめ入力された状態になっていると、お客さまからご指摘を頂戴しました。ホームページの管理委託先企業に連絡し、ただちにお問い合わせフォームへのアクセスを一時的に停止いたしました。

その後の調査により、ウェブページ読み込みスピードを速くするために行ったプラグインの設定変更が原因であることが判明しました。プラグインの設定を変更前の状態に戻し、テスト動作で問題がないことを確認のうえ、6月28日(水)にお問い合わせフォームを復旧いたしました。

現在は、お問い合わせフォームに入力された情報が画面上で他者に閲覧できる状態にはなっておりません。

表示された個人情報について

【表示された期間】

6月22日(木)9:30頃~6月24日(土)18:30頃

【個人情報が表示されたお客さま】

4名様

【表示された個人情報へのアクセス数】

3件(弊社および管理委託先企業からのアクセスを除いた推測値)

 【閲覧された可能性のある情報】

お名前、フリガナ、連絡先電話番号、メールアドレス、郵便番号、ご住所、お問い合わせの内容、訪問希望日時

原因

ホームページ管理委託先企業のシステム担当者が、データの読み込みに時間がかかる問題を解決するため、プラグインでキャッシュを残す設定変更をしました。この設定変更がお問い合わせフォームの入力情報に影響することをシステム担当者が認識しておらず、お問い合わせフォームに入力された情報が一時的に閲覧可能な状態となりました。

事前にテスト動作を行う検証環境や、本番変更の際の承認フローが不十分であったことが要因として考えられます。

再発防止策

これまでは、システム改修に関することにのみ、事前確認ルールを策定しておりました。今後はウェブサイト管理に関わる変更作業に際し、弊社および管理委託先企業の両社で合意した基準に則り、作業報告書の作成と確認、テストサイトでの確認、作業後の確認を行う運用ルールといたしました。

今後の対応

現在までのところ、閲覧可能であった個人情報が不正に使用された事実は発見されておりません。今後、お客さまの個人情報が閲覧されたことにより、個人情報が悪用されるなどの事態が生じた場合には、各種法令にしたがい、適切な措置を講じる所存です。

なお弊社では、お客さまから個人情報を聞き出すような営業活動はしておりません。

弊社になりすました不審な連絡にご注意くださいますようお願い申し上げます。

Labels:

クソコンサルや、コンサルのクソアドバイスを見抜く方法



最近のIT業界では、どこに行ってもITのアドバイスをする自称コンサルタントに出くわす。問題は、多くのコンサルが、たとえ大企業に所属していても、時に間違っていることだ。あるいは、より一般的には、あることに関しては正しく、あることに関しては間違っていることもある。コンサルタントだからと言って、その指摘を鵜呑みにすると後で後悔することがあります。

コンサルタントのアドバイスを評価する方法を学ぶことは、すべてのITリーダーが習得すべきスキルです。コンサルタントの指導を額面通りに受け取ることはリスクが高く、企業にとっては損失を招く可能性がある。ITやビジネスの問題に関して外部のアドバイスを受け入れる前に、コンサルタントが本当に正しいかどうかを判断するための以下の8つの方法をチェックしてください。

1. 定型的なアドバイスに注意

画一的な情報しかないようなコンサルは、あなたの具体的な課題や目標を理解しようとしていない証拠です。コンサルのソリューションが実行可能なものであるためには、各顧客の固有のニーズに対応する必要があります。オーダーメイドのスーツと同じで、顧客固有のニーズに合わせて縫い合わされたものが望ましい。

定型的なアドバイスは役に立たないだけでなく、一般的に、その推奨をサポートするために必要なデータ、洞察力、集中力が欠けています。優れたコンサルタントは、常に長期的な影響を考慮するものです。ITリーダーに対して、協調的なブレーンストーミングよりも強引な説得を優先するコンサルは特に注意が必要です。

2. 推奨ではなく、解決策を期待する

推奨は、それが自動的にソリューションに変わるわけではありません。コンサルの対話の大半は、解決しようとしている問題をあなたに繰り返すものであるべきで、その結果得られる解決策は、あなたの言葉で定義された問題に直接関連したものであるべきで、あなたの組織が進んで取るべきステップと段階に沿ったものであるべきです。

コンサルタントが一般的な課題をつかみ、それをどのように解決するかを手短に説明する場合、そのソリューションは組織が直面している可能性のある非常に具体的な問題に完全には対処できない可能性が高い。

誤ったアドバイスに基づく誤った決断は、必然的に時間のロスにつながることも覚えておいてほしい。問題を解決できなかったことによるコストや、エネルギーの損失は、関係するチームに直接的な影響を与える。

3. アドバイスに意味がない

アドバイスに論理的な根拠がなかったり、データと矛盾していたり、長期的な結果を考慮していなかったりする場合、それはクソアドバイスの可能性が高い。
批判的思考と厳格な評価が、良いものと悪いものを見分けるのに役立つ。

不適切なアドバイスに従うと、時間の浪費、リソースの損失、機会の逸失など、有害な結果を招く可能性がある。また、金銭的な損失や、予期していた目標への進展の妨げにもなりかねない。一方、不適切なアドバイスは、意思決定、ビジネス関係、長期的な成功に悪影響を及ぼす可能性がある。このような残念な結果を防ぐためには、アドバイスを検討する際に慎重さと識別力を発揮することが極めて重要である。

4. 範囲を広げ、社内の専門家を巻き込む

社内に専門分野のエキスパートがおり、相談できる環境があることは非常に重要。

コンサルのアドバイスがクソである可能性があり、複数の部門からそのような回答を得た場合は、本当にクソである可能性が高い。

5. 客観性を求める

ITリーダーは、コンサルが100%客観的であることを期待すべき。偏りのないアドバイスを提供しているかどうかを確認するためには、コンサルに率直であることの重要性を強調する。
直接的な質問をし、コンサルが組織のニュアンスを理解していることを確認する。

6. 的を絞ったアドバイスを求める

技術分野への関心を喚起することを目的としたレポートと、理解を深めることを目的としたレポートとは、明確に区別される。

ITリーダーは、検討されている技術や手法が、対象となるユースケースのニーズを満たすのに十分成熟しているという信頼できる証拠をコンサルに求めるべきである。
提案されたテクノロジーやプロセスは、常に明確な経済的メリットを提示する必要がある。

提供されるアドバイスが、その組織独自のニーズに特化したものであることを確認することが重要である。コピー・アンド・ペーストのような、画一的なクソアプローチでは、高いROIが得られることはほとんどありません。

7. 複数の情報源を探す

質の高いコンサルを提供してくれる信頼できる情報源を見つけるには、多角的なアプローチが必要。カンファレンス、ウェビナー、業界誌などでアドバイザー候補を探すのが良い。また、専門家ネットワークに参加することも良い。

これらの手段は、知識を広げ、見識を深め、志を同じくする仲間とつながる機会を提供してくれます。必要になるかもしれない時のために、早めに足を踏み入れ、関係を築いておくことは良いことです。

8. クソアドバイスは丁重に断る

コンサルも所詮は人間であり、間違いを犯したり、誤った情報に惑わされたりする可能性があります。クソコンサルのアドバイスを断ることを恐れてはいけません。

しかし、クソアドバイスを断るには、ある程度の繊細さとプロフェッショナリズムが必要です。助言に対する感謝の気持ちを伝える一方で、その助言が組織の現在の戦略や将来の目標にどのように合致するかについて、懸念事項を明確に伝え、懸念を共有することがおススメです。

オープンなコミュニケーションと誠実さを保つことが重要です。建設的な意見交換ができるよう、適切な場合は代替案を提示し、一緒に解決策を探したり、セカンドオピニオンを求めたりしましょう。

出典:8 ways to detect (and reject) terrible IT consulting advice
Labels:

【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2023年8月23日

この度、当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることが判明いたしました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【本件の概要】
2023 年 8 月 16 日、当社および当社グループ会社が利用しているサーバー機器に対する外部からの攻撃を検知しました。このため、当社は直ちにサーバー機器の保守ベンダーと連絡を取り、ネットワークからの切り離しなど必要な対策を同日中に実施しました。

その後のセキュリティ専門ベンダーとの調査にて、当社アカウント管理システム(ディレクトリサーバー)への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明いたしました。なお、当システム以外のサーバーに対する不正アクセスによる情報流出は現時点で確認されておりません。今後、新たにご報告すべき事象が判明した場合は、ホームページ上でお知らせいたします。

【外部に流出した可能性がある個人情報の内容】 (下記(1)~(2)の合計 13,434 件)
(1)当社が管理しているグループアドレスに登録されているお客様・取引先様の情報(8,236 件)

・お客様・取引先様ドメインのメールアドレスおよび氏名

※当社アカウント管理システム(ディレクトリサーバー)にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

(2)当社および当社グループ会社の社員および協力会社社員などのアカウント情報(5,198 件)

・当社および当社グループ各社が発行したユーザーID
・当社および当社グループ各社が発行したメールアドレス
・名前(漢字)
・名前(ローマ字)
・会社名
・部署名
・組織コード
・社員番号
・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

(1)当社ホームページでの公表
2023 年 8 月 23 日に本件を当社ホームページの「お知らせ」ページにて公表いたしました。

(2)行政機関への報告
2023 年 8 月 22 日に個人情報保護委員会に報告いたしました。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-324】ホテル京阪 淀屋橋 不正アクセスについてのお詫びとお知らせ 2023年8月10日


今般、ホテル京阪 淀屋橋におきまして、利用するBooking.com社(本社:オランダ、アムステルダム)の宿泊予約情報管理システムが不正アクセスを受け、同社経由で当ホテルをご予約いただきました一部のお客さまに対し、フィッシングサイト(不正な手法を用いて個人情報や経済的価値のある情報を搾取する偽のWEBサイト)へ誘導するメッセージが配信されたことを確認いたしました。

現在のところ、お客さまの個人情報の流出については確認が取れておらず、詳細につきましても調査中でございますが、お客さまには多大なるご迷惑とご心配をおかけしておりますこと、深くお詫びを申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信された場合、貼付されたURLリンクへアクセスされませんよう、お願い申し上げます。

不正アクセスの原因等につきましては、当社および関係機関において現在も調査中でございます。引き続き原因調査を進め、必要な対策を講じることで再発防止に万全を期してまいります。

Labels:

【セキュリティ事件簿#2023-323】上條器械店 当社サーバへの不正アクセスに関するご報告とお詫び 2023年8月18日


日頃、ご愛顧賜りまして誠にありがとうございます。

2023年6月19日にご報告いたしましたとおり、このたび、当社において業務上使用するサーバに対して、第三者による不正アクセス攻撃を受けました(以下「本件」といいます。)。
お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、本件の概要等につきまして、下記のとおりご報告いたします。

なお、既に当社サーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。

2023年6月19日の発表については、こちらをご確認ください。

1.本件の概要等

2023年6月14日、業務システムへのアクセス障害が確認されたため、調査を行った結果、一部の業務システムの起動ファイルが暗号化されており、ランサムウェアに感染した可能性を確認しました。当該サーバをネットワークから隔離するなどの被害拡大防止策を講じた上で、速やかに第三者調査機関に調査を依頼しました。その後、2023年6月29日、第三者調査機関による調査が完了し、その結果、本件について、 2023年6月12日午前2時頃に当社ネットワークへの不正アクセスが行われたのち、同月14日午前3時頃より、サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。

第三者調査機関からは、個人データを外部に送信したことを示す明確な痕跡は見つかっていないものの、当社が保有していた一部のお客様の個人データの漏えいの可能性は否定できない旨の報告を受けております。

なお、当社は本件につきまして、個人情報保護委員会に報告済みでございます。また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。

2.関係者の皆様へのお詫びと本件に関するお問い合わせ窓口

お客様をはじめ、関係者の皆様には多大なご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

個人データが暗号化され、かつ漏えいした可能性が否定できないお客様には、お詫びとお知らせ(暗号化され、かつ漏えいの可能性が否定できないデータ項目 を記載したもの)を個別に順次ご連絡申し上げます。

また、本件に関するお問い合わせにつきましては、専用の問い合わせ窓口を設置しております。ご質問やご心配なことがございましたら、以下のお問い合わせ窓口までご連絡いただきますようお願い申し上げます。

当社では、これまでもサーバ・コンピュータへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を厳粛に受け止め、外部の専門家と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定でございます。

Labels:

大規模言語モデルアプリケーションのためのOWASP TOP 10リリース

OWASP (Open Web Applications Security Project)は、アプリケーション・セキュリティのリスク、脆弱性、影響、緩和策につい て、長年にわたって取り組んできたコミュニティ・プロジェクトです。もともとはウェブ・アプリケーションでしたが、あらゆる技術やプラットフォームが統合されるにつれて、APIの世界、モバイル・アプリの世界、あるいは、今日のトピックのように、ChatGPTの登場によって今日流行しているLLM(大規模言語モデル)をベースとしたアプリケーションへとその活動を広げてきました。
LLMのような人工知能モデルに基づくアプリケーションで最も悪用される10の脆弱性です。これは一見の価値があります。

OWASP_1.jpg
OWASP Top 10 List for LLMs version 0.1


その1は、もちろん、プロンプト・インジェクションのテクニックで、モデル・ビルダーが望まない反応をさせるために、モデルに課された制限を迂回し、望まないアクションを生成させたり、プライベートなデータを漏えいさせたりすることに重点を置いています。その例として、私がChatGPTにアメリカ合衆国大統領を殺すアイデアを求めていたとき、彼はそれを私に与えようとはしませんでした...最初は。

結局のところ、LLMにはリレーショナルデータベースに例えられる知識データベースが含まれています。このデータにはアクセス制限がありますが、プロンプト・インジェクションのテクニックはこれらの制限をバイパスし、LLMの知識データベースのアクセスすべきでない部分にアクセスします。プロンプト・インジェクションは、私たちが愛するSQLインジェクションのテクニックに相当しますが、LLMの世界でのテクニックです。


意図しないデータ漏洩。LLMは訓練され、知らず知らずのうちに機密情報、専有データ、あるいは漏らしてはいけない情報を漏らしています。これは、元のデータセットで使用された機密性の高いデータを推論して再構築することで、LLMがどの程度漏れるかを測定した学術論文の記事を書いた際に話したことだ。

LLM は外部リソース、サードパーティのデータソース、インターネット、あるいは保護された API への呼び出しに接続されるかもしれません。外部リソースへの接続へのアクセスがうまく区分けされていない場合、誰かが LLM に、あるいは LLM を通して望まないアクションを実行させることが可能です。例えば、攻撃者はどのプロンプトがリソースへの訪問やAPIやサービスコールの消費を操作するインターネット検索を生成するかを知ることができ、それを利用して自分に有利になるようにすることができます。


前のケースと似ていますが、この場合LLMはAPIやシェルコマンドコールなど、コマンドを実行できるシステムに接続されています。例えば、システムコールを使ってリソースを検索する LLM があり、攻撃者はプロンプトを使ってその LLM をだまし、システム上で悪意のあるアクションを実行する不要なコマンドを実行させることができます。ファイル->fake.doc "を探すようにLLMに指示することもできます。


もちろん、APIコールを実行できるのであれば、LLMバックエンドからDMZバックエンドへのSQLインジェクションは可能です。あるいはポートやサービスのスキャン、あるいは LLM を使って接続文字列パラメータのポリューションを実行することもできます。もしLLMが最終的にネットワーク上のAPI経由でHTTP呼び出しに接続されるなら、プロンプトを操作してこのような攻撃を行うことができます。


この欠陥は、部分的な、不正確な、あるいは不正確なデータで訓練されたLLMが持つ意味、そしてこの脆弱性を持つLLMをベースとしたビジネスアプリケーションに依存している組織に与える影響を物語っています。その影響は、修正するはずだったパラメータに大きな影響を与える可能性があります。


この場合、私たちはLLMモデルが、解決しようとしている問題とまったく一致していないデータでトレーニングされたものを扱っています。言い換えれば、LLMに期待されている作業範囲を解決することができないデータで学習されたモデルです。



LLMが知識データベースであることを理解するならば、これらのLLMへのアクセス制御の管理は強化されなければならないことを理解しなければなりません。システム内のどのユーザーがどのLLMにアクセスできるかを知ることは、アプリケーション全体のセキュリティの重要な一部となります。強固なアクセス制御を保証するために、セキュリティ・メカニズムを適切に管理することが鍵となります。


ウェブ・テクノロジーのハッキングの世界から来た人なら、これは心得ていることでしょう。私は長年、エラーメッセージに現れる情報について書いてきましたが、それはシステムからデータを抽出するために使うことができます。探していたファイルやサーバーの名前を教えてくれたウェブページから、探していたデータを教えてくれたODBCデータベースのエラーまで。同じように、LLMが管理するシステムからのエラーもあります。

外部リソースにアクセスし、プロンプトを操作してエラーを含むコマンドを生成し、そのエラーメッセージがLLMのレスポンスに届くことを想像してください。


そして最後のものは、AIの世界からのものです。それは、LLMがどのようなデータで訓練されているかを知り、偽の、誤った、あるいは意図的な情報でそれを操作することです。LLMが再訓練されると、それに依存するシステムは、訓練データの汚染された操作に基づいて攻撃者によって操作された結果を得ることになります。

さらに多くのことが起こるでしょう

LLMハッキングは、ペンテストや監査、レッドチームチームの世界では大変な作業になる分野だからです。しかし、その反対もあります。フォレンジック分析、デバッグ、ブルーチームにおける要塞化、構築プロセスの監査。エキサイティングなことが目白押しです。
Labels:

【セキュリティ事件簿#2023-322】帝京平成大学 キャリアカウンセリングにおける個人情報の不適切な取り扱いに関わるお詫びならびにご報告 2023年8月18日


去る2023年8月7日にホームページにて公表のとおり、本学がキャリアカウンセリングを委託する株式会社東京海上日動キャリアサービス(以下、「TCS」)において個人情報管理における不適切な取り扱いが発覚し、調査と対応を進めております。

皆様に多大なご心配、ご迷惑をおかけしておりますことを心からお詫び申し上げます。今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。
本件に関わる事実関係等につきまして、以下の通りご報告いたします。

1.本件に関わる事実関係

本学千葉キャンパス就職支援室にて学生のキャリアカウンセリングを実施するTCSのキャリアカウンセラー1名が、キャリアカウンセリング面談時の手書きメモの一部を自宅へ持ち帰り、手書きメモの裏面を再利用して自宅外に持ち出したものを飲食店に遺失しました。これを拾得された第三者から、2023年8月3日に本学へご連絡を頂いたことにより判明したものです。

このことを受け、本学およびTCSにて、実際に外部流出した手書きメモおよび流出の可能性のある手書きメモを特定し、漏えいを確認された方、漏えいした可能性のある方への書面でのご連絡を2023年8月17日より順次行っております。 
なお本学、TCSそれぞれで本件につき個人情報保護委員会へ報告をしております。

2.調査結果の概要

本学千葉キャンパスにおいて、当該キャリアカウンセラーによるキャリアカウンセリングは、2018年4月19日から2023年7月20日までの期間行われ、面談者の一部の手書きメモが外部に持ち出されたこと、もしくは持ち出された可能性があることが確認されました。なお、当該キャリアカウンセラーによるキャリアカウンセリングは、2023年7月20日をもって終了しております。

(1)個人情報の概要(注1)
  • 氏名(の一部)、学籍番号(の一部)、携帯電話番号等の情報
  • キャリアカウンセリング面談日、志望先、採用面接の状況、応募シートの添削内容等のキャリアカウンセリングに関わる情報

(2)対象者数
  • 外部に持ち出され、実際に第三者が取得したことが確認されたもの:12名
  • 2023年8月17日までの時点で本学において手書きメモの現物が確認できないもの:807名(注2)

(注1)面談によって記載のなかった情報もあります。
(注2)これには手書きメモをとっていない面談も含まれます。

現時点では、第三者に取得された情報を悪用等された事実は、本学およびTCSでは確認されておりません。改めまして、ご自分の就職のご相談にいらして頂いた学生・卒業生の皆様、ご家族の皆様、本拾得物をご提供頂いた方、ならびに本件により図らずもご迷惑を被られた方々に心よりお詫び申し上げます。

3.今後の対応

実際に面談記録が外部流出し漏えいの確認された方、漏えいの可能性のある方へ、本件の事実経緯、ご本人の漏えいもしくは漏えい可能性のある個人情報の内容、万一、ご不安やご不明な点がある場合のお問い合わせ窓口の連絡先について、書面でのご連絡を2023年8月17日より順次行っております。

4.再発防止策

(1)全キャリアカウンセラーに対し、個人情報の研修を8月中に実施し、情報管理の重要性について改めて意識の徹底を図ります。
(2)キャリアカウンセリング面談時の手書きメモは、面談を終えたら即時システム入力し、当日中に裁断廃棄することをダブルチェックいたします。
(3)本学、TCS双方でキャリアカウンセリング業務の流れについて定期的にチェックを実施いたします。
(4)面談記録に関わる管理プロセスの見直しによる、情報のトレーサビリティを含む管理の強化や、これに関する定期的なモニタリングを実施して参ります。

本学、TCSともに、今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

Labels:
登録: 投稿 (Atom)