【セキュリティ事件簿#2023-439】大阪市 大阪市立中学校における個人情報を含む文書の漏えいについて

大阪市立中学校の教員が、令和5年10月2日(月曜日)、「数学科単元テスト範囲表(以下、「テスト範囲表」という。)」を個人情報が記載された用紙を裏紙として再利用して印刷し、一部の生徒に対して配付していたことが判明しました。

このたびの事案が発生しましたことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1  概要と事実経過

令和5年10月2日(月曜日)18時20分頃、ある大阪市立中学校の教頭に、テスト範囲表を受け取った生徒の保護者から「配付されたテスト範囲表の裏に個人情報が記載されている」との連絡がありました。すぐに教頭が担当教員に確認したところ、9月28日(木曜日)の授業で3年生生徒にテスト範囲表を配付するにあたり、9月27日(水曜日)にA4サイズの裏紙35枚を再利用して計70部印刷した際、裏面に計28世帯69名の個人情報が記載されている用紙を一部再利用していたことが判明しました。

令和5年10月3日(火曜日)以降、教員がテスト範囲表を配付した生徒の全家庭を訪問した結果、配付した70部のうち54部を回収し、16部は家庭で破棄されていることを確認しました。また、回収した54部のうち8部が個人情報の含まれた文書を裏面として利用していたことが判明しました。

2  再利用された個人情報を含む文書と記載内容

  • 平成29年度10月 振替結果一覧表(給食)1項
    学年、組、生徒名、口座番号、口座名義、振替不能理由
  • 平成29年度10月 振替結果一覧表(給食)2項
    学年、組、生徒名、口座番号、口座名義、振替不能理由
  • 平成29年度4・5月分学校給食費督促状作成リスト
    学年、組、生徒名、保護者名、郵便番号、住所、未納金額
  • 給食費未納一覧(年度不明)
    保護者名、生徒名等
計28世帯69名分

3 判明後の対応

令和5年10月5日(木曜日)から10月13日(金曜日)までに、校長及び教頭が個人情報漏えいの対象となる家庭に訪問し、経過説明及び謝罪を終える見込みです。

4 原因

当該校では、個人情報が含まれる文書は再利用置き場に入れないよう周知していたものの周知が徹底していなかったこと、「テスト範囲表」の印刷及び配付時に裏面の確認をしていなかったこと、また、管理職による指導が不十分であったことが原因です。

5  再発防止について

教育委員会といたしましては、これまでも各校に対して個人情報の管理を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。

当該校に対しては、再発防止策として、個人情報を含む文書の適切な廃棄を徹底すること及び個人情報管理に関する校内規定を点検する等、管理の徹底を指導してまいります。

各校に対しては、今回の事案を共有するとともに注意喚起を図り、個人情報の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-438】東京医科歯科大学 学園祭HP上で個人情報が一時的に閲覧可能な状態になっていた事例について


この度、東京医科歯科大学の学園祭である第 72 回お茶の水祭(2023 年 10 月 14 日~15日開催)の特定のイベント 1 件への参加申し込みフォームに不備があり、個人情報延べ 44名分の漏えいが発生しました。44 名の皆様には既に事情説明と謝罪を済ませておりますが、関係者の皆様にご迷惑とご心労を与えてしまったことを深くお詫び申し上げます。

1.概要

今般、お茶の水祭の高校生向け企画「診療体験」について、google forms にてご応募くださった方々におかれまして、参加情報を送信した後の画面に表示されるリンク先 URLをクリックした場合に、他の参加者の個人情報が閲覧できる状態になっておりました。

本件は、募集に使用したgoogle formsの設定に誤りがあったことが原因でございます。現在は、設定を変更し他の参加者の個人情報を閲覧できない状態にした上で、google forms での応募ページを閉鎖しております。

他の参加者の個人情報が閲覧できた期間は 2023 年 9 月 19 日 17 時頃から同 10 月 3 日11 時頃まででした。閲覧できた情報は、氏名とふりがな、学校名、メールアドレス、イベント内での呼び名(ニックネーム)、個人情報の取扱いについての同意の有無などです。個人情報が google forms 上で閲覧状態になってしまった延べ 44 名の皆様には、東京医科歯科大学お茶の水祭実行委員会委員、及び東京医科歯科大学学生支援事務室より事情説明と謝罪の連絡を取りました。

2.再発防止

以下の対応を行うことで、本事故の再発防止とし、情報の適切な取り扱いの徹底を図ります。

  • 本事案について次期東京医科歯科大学お茶の水祭実行委員会委員への引き継ぎに記載し、来年以降の実行委員会委員となる学生に必ず確認させることとします。
  • 学生がお茶の水祭において個人情報の収集を行う場合は、担当部署である東京医科歯科大学学生支援事務室に収集目的・収集項目・管理方法・破棄方法を報告及び相談を行い、学生支援事務室が認めた場合に限り、申請フォームを作成・公開することとします。
  • 全学生、及び職員に対し、個人情報の正しい取り扱いについて、再周知を徹底します。

【セキュリティ事件簿#2023-437】三重県 委託事業におけるイベント申込者の個人情報の誤掲載について


大都市圏向け観光プロモーション事業の一環として実施予定のユーチューバートークイベントにおいて、委託事業者(株式会社ジェイアール東海エージェンシー)が制作した参加申込みフォーム入力後に、既に申込済みであった方の個人情報(氏名、連絡用電話番号)が誤って掲載されていたページを閲覧できる状態になっていたことが判明しました。

1 報告内容

(1)経緯
10月27日(金)  

午後3時04分 
イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開 

午後5時44分 
イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識

午後5時46分 
県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示

午後6時27分 
他の申込者の情報が掲載されたページを非公開に設定(※非公開設定時点で、申込者は66名)

(2)原因

委託事業者内で申込フォームのページを制作した際、他の情報が見られるような設定項目のチェックを外して確認していたにもかかわらず、公開時点で人為的ミスによりチェック項目にチェックが入った状態で公開していたことにより発生したものです。

2 今後の対応方針

委託事業者に対し、再発防止策について報告を求めるとともに、各申込者あてに謝罪を行うよう指示しました。

【セキュリティ事件簿#2023-436】国立環境研究所が運用するオンラインストレージサービス(Proself)への不正アクセスについて


国立環境研究所がファイル転送サービスとして利用していたオンラインストレージサービス(Proself)について不正アクセスがあり、サーバ内に保管していた個人情報を含むデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかったProselfの脆弱性(ゼロデイ脆弱性)を突いたサイバー攻撃によるものとなります。

国立環境研究所における本事案の経緯及び講じた措置は以下のとおりです。

10月5日 Proselfへの不正アクセスの痕跡を発見。同日に対象サーバを運用停止。
10月10日 調査により、脆弱性を悪用してアカウントの一覧やパスワードハッシュを窃取し、その情報をもとに不正ログインが行われ、一部のファイルへアクセスが行われたことが確認された。(同日、個人情報保護委員会に報告)。

実際に不正アクセスが行われた期間は、9月15日~9月28日までの間で、個人情報を含むデータの一部が外部に漏えいした可能性があります。現在漏えいが判明している個人情報は、当研究所職員の健診受診者名簿、外部機関等を含む各種委員会等の名簿、研究所Webサイトからのデータダウンロードサービスをご利用の際にご登録いただいたメールアドレス等が含まれていることが判明しております。

引き続き、詳細調査を継続しておりますが、並行して、漏えいした可能性のあることが判明した方に対して順次、個別の通知を進めているところです。関係者の皆様には、ご迷惑をおかけすることとなり、お詫び申し上げます。

なお、現時点で、個人情報の悪用等の被害は確認されていません。

国立環境研究所では、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。 

2024年のフライト計画 ~JALワンワールド特典航空券の活用~

 

2024年のフライト計画を立ててみた。

2023年分の特典航空券(関空⇒バンコク行きのフライト)が残っているため、この続きから考える。

マイルを確認したところ、120,000JALマイル以上あったため、2024年はワンワールド特典航空券を活用する。

メインの行き先はリトアニアのカウナス。

杉原千畝を求めて数年前にイスラエルに行ったが、この続きでカウナスに行きたいというのが理由。

実は以前にもカウナスは行っていたのだが、27時間しか滞在できず、短かすぎたので、もう少し滞在してじっくり見て回りたい。

あと、ドイツを代表するスーツケースメーカーであるRIMOWAが生涯保証を始めたことから、ドイツにRIMOWAを買いに行きたかったのだが、資金的な問題と、特典航空券の空席の問題と、時間の問題があるので諦めた。

代わりにバルト三国を回ってみようかと思ったが、こちらも時間が足りなさそうなので、今回はリトアニアとラトビアの2ヵ国を周遊してみることにした。

1本目:HND-ITM@JAL ※2024年4月予定

2023年のフライト計画で予約した大阪~バンコク間のフライトに搭乗すべく、有償で羽田~伊丹間の航空券を購入。


2本目:KIX-KUL-BKK@マレーシア航空

2023年のフライト計画で予約したフライト。マレーシア航空ビジネスクラス。

同日乗り継ぎも可能だったが、サテーとラクサが食べたくなったので、一泊することに。

昨年途中降機してしまっているため、滞在は24時間以内に調整。


3本目:BKK-HKG-SGN@キャセイパシフィック ※2024年4月予定

今回のワンワールド特典航空券のスタート地点は空席の関係からホーチミンになった。
バンコクからホーチミンまでは直行便で行けば時間的にもコスト的にも最もリーズナブルなのだが、ワンワールドアライアンスでは直行便が存在しない。

マイル的にも空港滞在時間的にも楽しいのはワンワールド加盟航空会社による経由便。選択肢はマレーシア航空とキャセイパシフィックの2択になるが、マレーシア航空は既に搭乗しているため、今回はキャセイパシフィックのエコノミークラスを有償で予約。


4本目:SGN-NRT@JAL ※2024年5月予定

ここからがワンワールド特典航空券。まずはホーチミン~成田のビジネスクラス。


5本目:HND-BKK@JAL ※2024年10月予定

日本発の欧州行きビジネスクラス特典航空券は基本見つからないので、一旦タイ・バンコクにビジネスクラスで移動。


6本目:BKK-HEL@フィンエアー ※2024年10月予定


バンコク発のフィンエアーでビジネスクラスの空席を無事発見。


7本目:HEL-VNO、RIX-HEL@フィンエアー ※2024年10月予定


欧州域内はエコノミーの有償チケットを別途手配予定。イメージ的には一旦リトアニアのヴィリニュスまでフライトして陸路カウナスへ移動。カウナス観光後陸路でラトビアのリガに移動し、リガからヘルシンキに飛行機で移動。


8本目:HEL-HND-ITM@JAL ※2024年10月予定

ヘルシンキからはJALの羽田行きのビジネスクラスの空席を発見。ただ、特典航空券のルール上東京には途中降機できないため、乗り継ぎで一旦大阪に移動。


9本目:ITM-HND(往復)@JAL ※2024年10月~2025年4月予定

特典航空券の都合上、一旦大阪に来たが、住まいは東京なので一泊して有償航空券を別途切って東京に戻る。

特典航空券的にはこの後大阪からのフライトが続くため、次のフライトのタイミングに合わせて、再び有償航空券で大阪に来る。


10本目:KIX-KUL-BKK@マレーシア航空 ※2025年4月予定


最後はマレーシア航空ビジネスクラスでクアラルンプール経由のバンコク移動。特典航空券のフライトとしてはここで終了。


特典航空券と有償航空券を混ぜて書いてしまったが、今回のワンワールド特典航空券のフライト的には以下の通り。


総旅程距離は19,841マイル。


ワンワールド特典航空券の必要マイル数早見表によると、総旅程距離が14,001~20,000マイルまでのビジネスクラス特典航空券に必要なのは120,000JALマイル。


税金・燃油サーチャージは計102,980円ナリ

2024年末にはリトアニア旅行記を出版していたい。

【セキュリティ事件簿#2023-435】東京海上日動火災保険株式会社 保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び


東京海上日動火災保険株式会社(取締役社長:広瀬 伸一、以下「当社」)は、保険の募集・管理で利用するために保険代理店向けに提供しているシステム(以下「代理店システム」)において、適切な参照範囲の設定を行っていなかったことにより、当社の一部の代理店が本来はアクセスしてはならない他保険会社や当社のお客様情報にアクセスできる状態となっていたことが判明いたしましたのでご報告いたします。

当社および各保険会社のお客様、代理店・各保険会社の皆様に大変なご心配、ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

1.事案の背景

当社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けております。一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしております。
この統括代理店と勤務型代理店は共同してお客様対応を行うことから、代理店システム上において取り扱いのある生命保険および損害保険のお客様情報を共有しております。一方、勤務型代理店が関与することのない、統括代理店が取り扱うお客様情報について、勤務型代理店がアクセスできないよう、代理店システム上制限をかけることとしておりました。


2.事案の概要

今般の事案は、当社による事務ミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が以下のお客様情報にアクセスできる状態となっていたことが代理店から当社への参照制限に関する照会により判明したものです。

<アクセス可能となっていたお客様情報>
お名前、ご住所、お電話・FAX 番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など

<参照範囲が適切に制限されていなかったことにより発生した事象>
① 勤務型代理店がお取り扱いしていない契約も含め、統括代理店がお取り扱いする他保険会社(※1)のお客様情報にアクセスできる状態となっていたもの
(※1)保険会社共同ゲートウェイというデータ通信サービスを通じ、データ提供を行っている他保険会社の保険契約等の情報を代理店にて一元管理することが可能となっております(当社が他保険会社のお客様情報を見ることができるものではありません)。

② 当社からの代理店委託のない勤務型代理店が、代理店システム上で当社から送信される統括代理店宛ての通知や契約事務のペンディング状況等に関する配信(※2)を通じて、統括代理店扱いの当社のお客様情報にアクセスできる状態となっていたもの。
(※2)当社からの代理店委託がない勤務型代理店においても、東京海上日動あんしん生命保険(以下、あんしん生命)の委託があれば当社の代理店システムを活用しております。

③ あんしん生命の委託のない勤務型代理店においても、②と同様に、あんしん生命のお客様情報にアクセスできる状態となっていたもの。

3.対象代理店

それぞれの事象における対象代理店は以下のとおりです。
① 他保険会社のお客様情報
統括代理店 214 店
② 当社のお客様情報
統括代理店 11 店
③ あんしん生命のお客様情報
統括代理店 165 店

4.対応について

判明した参照制限の設定誤りについては是正対応を完了しており、現在は不適切なアクセスができない状態となっております。また、アクセス履歴が確認できたものから、勤務型代理店へのヒアリング等の確認を進めており、現時点で情報の不正使用は確認されておりません。引き続き、残存するアクセス履歴の調査を継続し、勤務型代理店による情報への不適切なアクセスが確認されたお客様に対しては、順次個別にお知らせしてまいります。

本件を真摯に受け止め、今後かかることのないよう、参照範囲の設定誤りが発生しない体制構築およびチェック体制の徹底強化により、再発防止を図ってまいります。

【セキュリティ事件簿#2023-434】株式会社ビッグモーター 不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ


当社が運営するウェブサイト(以下「当社ウェブサイト」といいます。)に対して、第三者から不正アクセスを受けたことにより、お問い合わせフォームにご連絡いただいた方々の個人情報の一部が漏えいした可能性があることが判明いたしましたのでお知らせいたします。

関係する方々には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

1. 概要

当社は、2023年8月18日、当社ウェブサイトに対して第三者からの不正アクセスがあったことを確認いたしました。本件不正アクセスを確認後、直ちに調査した結果、当社ウェブサイトを構成するサーバーには、お問合せフォームをご利用いただいた方々の個人情報等が含まれており、漏えいの可能性があることを確認いたしました。

2. 漏えいの可能性がある個人情報

漏えいの可能性がある個人情報は、当社ウェブサイトのお問い合わせフォームにご入力いただいた情報であり、詳細は以下のとおりです。

対象: 2016年11月から2023年8月にお問い合わせフォームをご利用になった方
情報の種類: 氏名、住所、電話番号、メールアドレス等
※ お問い合わせフォームでは、クレジットカード情報やマイナンバー情報につきましては収集しておりませんので、本件不正アクセスによる漏えいはございません。なお、顧客情報は本件不正アクセスの対象となったサーバーとは別のシステムで保管しているため、顧客情報の漏えいはございません。

対象となる可能性のある方々には、順次メール等でご連絡いたします。該当する方々におかれましては、不審なメールや通知が届いた場合は、開封およびリンク先へアクセスされないよう宜しくお願い申し上げます。

3. 当社の対応

当社は、本件不正アクセスを確認後、外部専門家も交え、速やかに当社ウェブサイトを構成するサーバーに保管されている全ての個人情報を削除し、お問合せフォームを含む当社ウェブサイトの一部を停止するなどして被害拡大の防止措置を講じております。また、個人情報保護委員会への報告、警察への相談も行っております。

当社ウェブサイトにつきましては、安全な環境でシステムを再構築し、不正アクセスおよび情報漏えいの防止措置を講じてまいります。

4. 再発防止

当社は、この度の事態を重く受け止め、外部専門家の助言も受けて情報セキュリティの強化を図ります。また、本件被害の調査結果も踏まえて、再発防止に努めてまいります。

この度は、関係する方々には多大なるご迷惑とご心配をおかけしておりますことを、改めてお詫び申し上げます。

【セキュリティ事件簿#2023-433】佐賀県 イベント申込者の情報を他の申込者が閲覧できる状態になっていました


「介護の日記念事業」に関する事業を受託している株式会社佐賀新聞サービス(以下、「受託事業者」という。)において、インターネットによるイベント申し込み設定にミスがあり、イベント申込者の個人情報を他の申込者が閲覧できる状態になっていた事案がありました。

事案の概要は下記のとおりです。同様の事案が生じないよう再発防止に取り組みます。

1 事案の概要及び対応

インターネットからイベントの参加申し込みを行った際、申し込み完了画面に表示されるリンクを開くと、先に申し込みした方の情報を見ることができる状態となっており、申込者3名の方が当該リンクを開き、先の申込者の個人情報を目にされていた。

申込者に対しては、受託事業者から概要の説明及び謝罪が行われました。

(1)覚知日 令和5年10月20日(金曜日)

(2)リンク先に掲載されていた個人情報(17組29名分)

  ・代表者の氏名、年齢、住所、電話番号、メールアドレス

  ・同行者の氏名


2 再発防止策

個人情報を取り扱うフォームの公開に際しては制作・テスト・公開の各段階において、必ず2人以上で確認を行い、公開後も随時確認を行うこととし、その周知徹底を図ります。

また、受託事業者における個人情報の管理に係る監督を改めて徹底します。