【セキュリティ事件簿#2023-384】下仁田厚生病院 個人情報紛失のお詫びとご報告 2023/9/29


この度、下仁田厚生病院(以下「当院」という。)において、患者様の診療情報が保存された電子記録媒体(USBメモリ)の紛失が判明いたしました。

当院といたしましては、今般の事案を重く受け止めており、該当する患者様をはじめご家族の方、日頃より当院をご利用いただいております皆様に対し、多大なるご迷惑とご心配をおかけすることに深くお詫び申し上げます。

今後におきましては、院内の個人情報対策を強化し、再発防止策の徹底に努めてまいります。

なお、現時点で、本件に係る個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。 

1.概要

当院では、医療事務を受託業者へ委託しておりますが、当該受託業者が診療報酬明細書点検業務を行うにあたり、院内において患者様の診療記録情報を保存している当院の端末から週1回の頻度でUSBメモリを活用して受託業者が所有する端末にレセプトデータの移管作業を行っており、その過程において、所定の場所にUSBメモリが無いことが判明し、院内を捜索したものの発見に至りませんでした。 

2.個人情報の項目

紛失したUSBメモリには、令和5年6・7月分の外来患者様及び入院患者様2,013件分の診療記録情報が保存されておりました。

紛失した患者様の情報は以下のとおりです。
 ・氏名、性別、生年月日
 ・傷病名
 ・保険者番号
 ・被保険者証記号番号
 ・受診日等の診療行為情報
 ※患者様の住所や電話番号は含まれておりません

3.二次被害の可能性の有無とその内容

USBメモリは院内での紛失と認識しており、外部に流出した可能性は低いと考えておりますが、レセプトデータには傷病名や診療行為といった要配慮個人情報を含みます。

第三者に流出した場合には患者様への不審な連絡が生じるなどの可能性が考えられます。 

4.再発防止策

受託業者に対し、十分な再発防止策を講じるよう指示しており、個人情報取り扱い規定の周知徹底、業務に直接携わる者以外も含めた個人情報取り扱いに関する再教育、及び定期的な監視・モニタリング体制の整備等に取り組み、委託元として管理監督を徹底して参ります。

また、当院の職員においても、同様に個人情報の取り扱いには十分に留意し、再発防止の徹底に努めてまいります。 

5.対応

 (1) 紛失への対応
本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。

 (2) 該当する患者様への対応
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。 

【セキュリティ事件簿#2023-208】日本国際協力センター 社会保険業務で使用する外部システムへの不正アクセスについて 2023/09/28

 

当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス(以下、「本事案」)を受け、サービス提供の停止を余儀なくされておりました。

このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。

1.事態の概要

 2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。

 ①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム(以下、「エムケイシステム社」)社から2023年6月5日(月)に本事案に関する連絡を受けた。

 ②2023年6月6日(火)に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。

 ③個人情報保護委員会宛本事案の速報を行った。

 その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。

 不正アクセスによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース(https://www.mks.jp/company/topics/)をご参照ください)。

 なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。

2.対象となり得る方

 当センターと雇用契約を締結したことのある方ならびにその被扶養者

3.対象となるデータの項目

 氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)

 (注)なお、マイナンバーは流出の恐れの情報範囲には含まれていません。

4.原因

 エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。

5.二次被害又はそのおそれの有無及びその内容

 エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。

リリース文アーカイブ

【セキュリティ事件簿#2023-383】株式会社ECC 不正アクセスによる個人情報流出の可能性に関するお知らせとお詫び 2023/09/29

 

この度、弊社においてECC学習支援システム「インターセクション」開発サーバーへの不正アクセスが確認されました。2023年9月12日に第三者による不正アクセスを確認し、改めて事実関係を調査いたしましたところ、同5月16日以降、複数回の不正アクセスにより、本システム利用者のうち1,249名の生徒様の情報および教材情報の一部が流出した可能性があることが判明いたしました。

流出した可能性のある情報には、個人情報(氏名、ID、一部受講情報)が含まれておりました。情報流出の対象となった皆様、関係者の皆様には、大変なご迷惑とご心配をおかけしておりますことを心よりお詫び申し上げます。

※メールアドレス、性別、生年月日、住所、電話番号、クレジットカード情報は含まれておりません。

弊社では、これまでも個人情報取り扱い業務にあたっては、厳格な管理・運用を求め、情報管理の徹底に努めてまいりましたが、このような事態が発生したことを踏まえ、通信制限などセキュリティ強化を実施し、アカウントのID/パスワードにつきましてもより強固なものに変更するなど、再発防止策をすでに講じております。

本件につきましては、弊社内の開発サーバーの運用体制が不十分だったと重く受け止め、健全な開発運営が行えるよう改善に努めてまいります。

この度は生徒様・関係者の皆様に多大なご迷惑、ご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-382】助成金クラウド 不正アクセスに関する報告書掲載のご案内 2023/09/29

 

いつも助成金クラウドをご利用くださり誠にありがとうございます。

2023年9月25日に発生した不正アクセスによるWebサイト改ざんに関する報告書を以下ページに掲載いたしました。

https://joseikin-cloud.jp/mypage/manuals/download/report_20230929.pdf

※脆弱性対策についての記載があるため、ログイン必須とさせていただいております。

第一報より詳細なご報告内容となりますが、これまでのご報告内容と異なる要素はございません。翌日9月26日に実施した脆弱性対策により今回の不正アクセス対策は完了しておりますが、引き続き脆弱性対策、認証強化等の再発防止に取り組んでまいります。

今般の事態に至りましたこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-381】株式会社酒商山田 迷惑メールに関するお詫びと注意喚起について 2023/09/22

 

平素は格別のご高配を賜り、厚く御礼申し上げます。

2023年9月20日13時30分~17時09分の間に、 弊社社員を装った「迷惑メール」が不正に送信されているという事実を確認いたしました。

該当のメールを受信された皆様には多大なご迷惑をおかけしましたこと深くお詫び申し上げます。

 件名や記載の問合せ先等を確認すると、弊社社員から送信されたメールに見えますが、 実際は無関係の第三者が送信したメールです。

 ●日時 2023年9月20日13時30分~17時09分

 ●不正利用されたメールアドレス fukuda@s-yamada.jp

 ●送信されたメールの件名

「署名済みドキュメント 09/19/2023」

「署名済みドキュメント」

「Signed Documents 09/19/2023」

 この件に関しましては既に広島県警に通報、  広島県警察本部サイバー犯罪対策課で捜査をしていただいております。

 また、心当たりのないメールや、本文の記載がない等、不審な点があるメールにつきましては、 ウイルス感染、フィッシングサイトへの誘導、不正アクセス等のリスクが高いため、 メールの開封、添付ファイルのダウンロード、あるいはメール本文中の URL のクリック等を行わず、速やかにメールごと削除して頂きますようによろしくお願いいたします。

 弊社におきましては、不正アクセスの防止など情報セキュリティには十分注意しておりますが、引き続き対策を強化して参ります。

ご理解とご協力をいただきますようよろしくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-380】株式会社Hajimari 当社情報の漏洩に関するご報告とお詫び 2023/09/08


日頃、ご愛顧賜りまして誠にありがとうございます。

このたび、弊社サービス「ITプロパートナーズ」において、システムの不具合により、一部のサービス利用企業様の承認者様メールアドレスが 弊社「ITプロパートナーズ」ご利用中の稼働者様宛に送付されてしまう事象が発生し、個人情報の一部が漏洩してしまっていたことが判明いたしました。

弊社サービスをご利用いただいている方々をはじめ、関係者の皆様には多大なご迷惑およびご心配をお掛けいたしましたことを深くお詫び申し上げます。
弊社では、今回の事態を重く受け止め、より一層の管理体制の強化に努めてまいります。

また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

皆様には重ねてお詫び申し上げますとともに、本件に関する概要等につきまして、下記の通りご報告いたします。

1.本件の概要等

2023年9月1日(金)16時26分、「ITプロパートナーズ」をご利用中の企業様からのご指摘により、稼働者様宛のメールのCCに承認者様のメールアドレスが含まれていたことが発覚いたしました。

翌営業日より弊社エンジニアチームが調査を行ったところ、稼働者様向けに送付されるメールのCCに企業側承認者のメールアドレスが含まれる実装になっており、2023年2月1日(水)〜2023年9月4日(月)に送付されたメール総数890件/稼働者様メールアドレス638件/承認者様メールアドレス679件が影響範囲であることが特定されました。

事象の原因については、弊社サービスユーザー向けシステム「Hajimari Works」の不具合によるものと特定されました。

2.対象となる個人情報の内容

今回の対象となる主な個人情報の項目は以下です。
・「ITプロパートナーズ」利用企業様の承認者様メールアドレス
・「ITプロパートナーズ」経由での稼働者様のメールアドレス

3.今後の対応

<お客様への対応>
影響範囲内の稼働者様・企業様双方には、9月5日(火)、メールにてお詫びと事象のご説明をさせていただいております。
<個人情報保護委員会への報告>
また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

4.再発防止策

稼働者向けのメール送信時にCCを入れない形に実装を修正完了いたしました。
また、今後以下の対策も実施を予定しております。
・メール送信機能の宛先の見直し(対応時期目安:9月末)
・受け入れテストの体制再構築(対応時期目安:9月末)
・重要機能に対してのテストコードの導入(対応時期目安:11月末)
・外部企業によるセキュリティテストの実施の検討(対応時期目安:12月末)

【セキュリティ事件簿#2023-379】株式会社ワコールホールディングス 英国子会社への不正アクセスについて 2023 年 9 月 27 日

 

当社の子会社である株式会社ワコールヨーロッパ(本社:英国、社長:Geoff Embley、以下「ワコールヨーロッパ」)において、社内ネットワークへの第三者による不正アクセスを受け、正常なシステム稼働に支障が生じたことを、9 月 19 日(火)(日本時間)に確認いたしました。

ワコールヨーロッパでは、現在、外部専門家の助言を受けながら全容に関する調査、システムの復旧対応、事業活動に対する障害への対処などを行っています。同時に、取引先等の関連者に対して、システム障害の影響について適切な通知を実施しました。

また、今回の不正アクセスはワコールヨーロッパにとどまり、ワコールヨーロッパ傘下の事業所を除く、当社グループのシステムへの影響がないことを外部の専門家とともに確認しています。

関係する皆さまにご迷惑とご心配をおかけしていることにつきまして、深くお詫び申し上げます。

なお、本件が当社グループの当期の業績予想に及ぼす影響については現在精査中です。

【セキュリティ事件簿#2023-378】NHK、外部からの不正アクセスを受け、個人情報をお漏らし、、、

 

NHKは最近、東京・渋谷区の放送センターの業務用サーバーが外部からの不正アクセスを受けたことを公表しました。この不正アクセスの結果、従業員やスタッフを含む2万3,435人の個人情報が漏えいした可能性があるとのこと。漏えいの恐れがある情報には、氏名、メールアドレス、部署名、役職名、内線番号、ユーザーID、ハッシュ化されたパスワードなどが含まれています。

NHKの調査によると、2023年7月31日にシステムへの侵害の可能性が判明し、速やかに外部の調査機関に協力を依頼していたとのこと。その結果、情報が外部へ明確に流出した証拠は確認できなかったものの、情報漏えいの可能性を完全に否定することはできないとされています。

NHKは、この件に関して「関係者の皆様にご心配、ご迷惑をおかけし、深くお詫び申し上げます」とのコメントを発表。今後、セキュリティ対策の強化に努めていくとの立場を明らかにしました。