【セキュリティ事件簿#2024-018】ベルサンテグループ ホームページ改ざん被害に伴う復旧 不審メール送信によるメールアドレス流出


平素は格別のお引き立てを賜り、厚く御礼申し上げます。

2023年12月24日に、当社サーバーが、第三者による不正アクセス被害を受けました。

関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、弊社ホームページ改ざん被害に伴う復旧及び不審メール送信によるメールア ドレス流出状況の検証結果をご報告いたします。 

なお、既に当社サーバーは復旧しており、現時点では業務への影響がないことを併せてご報告させていただきます。

【弊社ホームページ改ざん被害内容及び復旧について】

2023年 12 月 24 日未明に、何者かにより弊社ホームページが改ざんされたことが判明いたしました。 弊社データは外部業者が保守しているサーバーにて管理しておりましたが、そのサーバー内に侵入及び改ざんされたことが確認されております。 復旧のため、まずは侵入される前のデータの安全確認を行った後に、新たな外部クラウドサーバーにてホームページの運用を2023年 12 月 28日より開始いたしました。 またスタッフ専用サイトにつきましては、より安全確認に時間を要したため、1 月17日に復旧いたしました。

尚、一部データが見れない状況のため、今後修正していきます。

 【不審メール送信によるメールアドレス流出経緯、及び流出状況報告】 

2023年12 月 24 日未明に、弁護士を名乗った送信者より、下記内容のメール送信がなされました。
・ベルサンテ株式会社が業績悪化の為、12 月 24 日付で破産手続きを開始した。 
・今後の対応は破産管財人及び顧問弁護士が行う。 
送信先:弊社派遣スタッフ(過去勤務者を含む)

被害確認後、早急に各サーバーの状況確認を行い、多くの個人情報や顧客情報を管理するサーバーへの被害が無い旨を確認しましたが、 2020 年 7 月 22 日まで使用していたメール送信システム(外部業者が保守しているサーバーにて管理)に何者かが侵入し、そのシステム内よりメールを送信されたことが判明いたしました。 そのシステムでは当時勤務いただいておりましたスタッフの方専用のメール送信用として活用していたシス テムとなります。 そのシステム内には一部のメールアドレスを保存しており、その一部が侵入者に閲覧された可能性 があると確認いたしました。 

改めまして、関係者の皆様には、心よりお詫び申し上げます。

 尚、メールアドレス以外の個人情報については、安全確認がなされたサーバーにて管理しており、そのサーバーへのウィルス感染はもちろん、部外者からの侵入形跡もなく、脆弱性もないことにより、個人を特定する情報(名前、住所、電話番号、マイナンバーなど)は一切外部へ流出していないことが確認されました。 

当社では、不正アクセス防止の措置及びセキュリティ対策について努めて参りましたが、このたびの事態を厳粛に受け止め、今後、個人情報等の保護・対策について徹底して参りたいと存じます。 

皆様には、大変ご心配とご不便をおかけいたしましたが、今後とも何卒よろしくお願いいたします。

【セキュリティ事件簿#2024-017】プラズマ・核融合学会 個人情報漏えいに関するお知らせとお詫び


このたび、本学会 2002 年当時の会員名簿ファイルが WEB にて検索可能となっていることが判明したため、当該ファイルの削除を行うと共に 2023 年 12 月 8 日に個人情報保護委員会へ報告しました。

2023 年 12 月 5 日に旧会員の方からの指摘があり、調査したところ、当時会員名簿電子化作業を行っていたサーバー機にデータが保存されたままとなっており、2023 年 7 月 29日に機種更新を行った際の設定不備により、2002 年時点での 3,262 名の会員情報 (旧会員を含む) に関して検索可能となっておりました。 会員情報として、 名簿作成当時の会員の氏名、連絡先、学会会員番号、 所属などの情報が含まれておりますが、クレジットカード情報などお金に関わる情報はございません。

本事案判明後、当日中に当該サーバー機をネットから切り離し、 当該ファイルの削除を行うと共に、 検索サイトへのキャッシュの削除依頼などを実施 し、 12 月 27 日までにキャッシュデータが削除されたことを確認しました。

対象となりました会員の皆様には多大なご迷惑をおかけいたしましたこと心からお詫び申し上げます。 本学会では、これまでも個人情報取扱いにあたり、 厳格な取扱いと管理に努めてまいりましたが、このたびの事態を厳斎に受け止め、 再発防止に向けて個人情報管理体制についてあらためて強化改善を図ってまいります。

パープルチーム向け無料セキュリティ・ツール


セキュリティの世界にはレッドチーム、ブルーチーム、パープルチームという概念が存在する。

レッドチーム:

レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。

ブルーチーム:

ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。

パープルチーム:

パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。

今回はパープルチーム向けのセキュリティツールを紹介する。

Defender-Pretender

Windows Defender のエンドポイント検出と対応 (EDR) アーキテクチャを乗っ取るために開発されたオープンソースツール「Defender-Pretender」は、特権を持たないユーザーに Defender の管理データを削除する権限を与えます。

SafeBreachの研究者たちは、Black Hat USAでDefender-Pretenderをデモンストレーションし、このツールを使ってOSやドライバファイルを削除したり、検出と軽減ロジックを改ざんすることでWindows Defenderの動作を変更する方法を示しました。

PyRDP

PyRDP自体は目新しいツールではありませんが、このオープンソースの Remote Desktop Protocol (RDP)傍受ツールの開発者が、過去3年間にわたって取得した膨大なハニーポット研究成果をBlack Hat USAで発表しました。

GoSecureチームは、PyRDPを「Python用のモンスター・イン・ザ・ミドル」ツールおよびライブラリと呼び、RDP接続をリアルタイムまたは事後に監視することができます。このツールはハニーポット研究だけでなく、悪名高いリビング・オフ・ザ・ランド攻撃を仕掛けるためのRDP接続を使った攻撃セキュリティ作業にも幅広い可能性を提供します。

BTD

今後、セキュリティ研究者たちが敵対的なAI攻撃の可能性を探るにつれて、モデル抽出がますます注目されるようになるでしょう。これらの攻撃は、モデルに対する体系的なブラックボックスクエリを行う方法や、モデルについて多少の知識がある場合やそれに関連するアーティファクトにアクセスできるホワイトボックス攻撃などを通して、AI/MLモデルの詳細を盗むことを可能にします。

Black Hat で注目されたユニークなツールの一つが、BTD です。これは、最初の深層ニューラルネットワーク (DNN) 実行ファイルデコンパイラです。このツールは、x86 CPU 上で動作する DNN 実行ファイルを入力とし、完全なモデル仕様を出力することができます。

HARry Parser

HARry Parserは、オープンソースの Python 製 .har ファイル解析ツールです。Web ページ上にどのようなトラッカーが存在するかを詳細に把握することを目的として、Agelius Labs によって開発されました。Black Hat USA では、このツールを使って現在のオンライントラッキングの深淵を解き明かすデモンストレーションが行われました。サーバーサイドトラッキング、コンテンツデリバリーネットワーク (CDN)、デバイスフィンガープリンティングなどの追跡方法に加え、電子メールピクセル、支払い取引データ、アクティビティトラッカーがどのように個人情報漏洩を引き起こす可能性があるかも解説されました。

また、HARry Parserは、ユーザーが望まない情報をオンライン閲覧中に共有することを防ぐための具体的な手段を学ぶのにも役立ちます。

PowerGuest

PowerGuest は攻撃セキュリティ評価ツールであり、Azure AD で限定されたゲストアクセスから、権限のないアクセス、さらに企業の SQL サーバー、SharePoint サイト、KeyVault アクセスなど機密性の高いビジネスデータやシステムへのアクセスに至るまで、アクセス権限をエスカレートすることができます。このツールは、Microsoft のローコード/ノーコードプラットフォームである PowerPlatform を介して共有された資格情報を利用してこれを実現します。

このツールの手法と設計上の弱点は、マイケル・バーギュリー氏によるブリーフィングセッションで詳しく説明されました。また、PowerGuest 自体も別の Black Hat Arsenal セッションで注目され、デモンストレーションが行われました。

【セキュリティ事件簿#2024-016】「弥生のかんたん開業届」における個人情報漏えいに関するお詫びとご報告


弥生株式会社は、当社が提供する「弥生のかんたん開業届」サービスにおいて、入力いただいた情報が漏えいした可能性があることを確認いたしました。対象のお客さまをはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

現在、原因となったシステム不具合は改修を完了しており、以後、同事象は発生しておりません。今回の事象は、対象期間と対象条件(後述)において、「弥生のかんたん開業届」をご利用いただいた方に発生しました。対象数は152 ユーザーです。対象数には、ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性がある方、他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性がある方が含まれます。

対象のお客さまへは、当社カスタマーセンターから、順次ご連絡を差し上げております。お忙しい中、誠に申し訳ございませんがご対応いただけますようお願い申し上げます。

なお、当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

現時点(2024年1月26日(金) 15時)での情報は下記のとおりです。今後も新たな事実が判明した場合は、当お知らせを随時更新し情報発信を行います。

1.事象の概要

(1)発生事象とシステム対応

以下「2」に記載する対象期間かつ対象条件において、「弥生のかんたん開業届」サービス利用者のみがダウンロードできる書類データ(PDF)*にて、入力した本人とは異なる別ユーザーの情報が反映された書類データがダウンロードされ、それを閲覧できた可能性**があることがわかりました。お客さま(以下、A様)からお問い合わせをいただき、当事象を検知しました。その後、調査を行い原因を特定、システム改修は2024年1月15日(月) 16時25分に完了しております。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください

**「可能性」と記載している理由:調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました

2. 対象のお客さま

(1)対象サービス

「弥生のかんたん開業届」
  • 個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。

(2)対象期間と対象条件

  • 2023年2月28日(火)~2024年1月15日(月)
  • 「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に*行われた場合
*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません

(3)対象数と件数

① 対象数は152ユーザーです。以下が含まれます。
  • ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
  • 他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー
② ①のうち、閲覧された/したの関係性にある可能性がある件数は79件*

*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません

3. 対象情報

(1)閲覧された可能性のある情報

「弥生のかんたん開業届」からダウンロードされた書類に記載されていた項目
  • 氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始(予定)日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報(続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額)
  • 以下の書類に入力された項目(入力内容によってダウンロードされる書類が異なります)
  • 個人事業の開業・廃業等届出書
  • 所得税の青色申告承認申請書
  • 青色事業専従者給与に関する届出書
  • 源泉所得税の納期の特例の承認に関する申請書
  • 給与支払事務所等の開設届出書
*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります

当サービスへのログイン時に必要となる弥生ID(メールアドレス)および各種パスワードは含まれておりません。また、クレジットカード番号やマイナンバーは当サービスの利用において取得しておらず、含まれておりません。

4. お客さまへの対応

(1)当社からお客さまへの対応

  • 2024年1月25日(木)に当お知らせを公開*
  • 対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**

*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います

**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。

(2)当件においてご不安や確認事項があるお客さまへ

  • 当件においてご不安を持たれた方
  • 心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
  • そのほか、当件について確認事項等がある方
専用お問い合わせ窓口までご連絡ください。

5. 当事象の発生検知と原因、影響範囲

(1)発生検知と原因

発生検知
  • 2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。
発生原因
  • 検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ(以下、データA)が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。
原因に対するシステム改修は、当事象を検知した当日中(2024年1月15日)に完了しており、以後は発生しておりません。

(2)影響範囲

  • 当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

6. 今後の取り組み

当事象の検知後、原因の検証と改修を行ってまいりました。検証結果を踏まえ、再発防止に向けた議論と対応を当サービスの開発委託会社とともに継続的に取り組んでまいります。

このたびはご利用のお客さまおよび関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

【セキュリティ事件簿#2024-015】株式会社大藤つり具 お客様個人情報漏えいの可能性に関するご報告とお詫び

この度、弊社システムが外部からのランサムウェアに攻撃されたことにより、お客様個人情報の一部が流出した懸念のあることが判明いたしました。このほど、本事案に関して調査および精査が完了いたしましたので、当該調査結果についてご報告いたします。

お客様には、多大なるご迷惑とご心配をおかけしますこと、心より深くお詫び申し上げます。今回の事実を厳粛に受け止め、お客様のご不安の解消に向けて努力いたしますとともに、同様の事案が再び発生しないよう、個人情報管理体制の一層の強化を図ってまいります。

1.本事案の概要

2023年12月13日、弊社コンピューターシステムに対し侵害活動が行われていたことが確認されました。その後攻撃者はランサムウェアを作成および実行することにより弊社サーバー内のデータを暗号化いたしましたが、暗号化されたデータにお客様個人情報が含まれていることが判明いたしました。外部機関の調査によると、サーバー上の痕跡では外部への情報の持ち出しを明確に示すものは確認されておりませんが、調査の及ばない範囲もあることから、持ち出しのおそれは拭えない状況となっております。

2.漏えい等が発生したおそれのある項目

・お客様の会員番号・氏名・住所・生年月日・電話番号
要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

・対象となるお客様
2018年3月より2023年11月までの期間に弊社よりダイレクトメールを送付したお客様。最大で約20万件程度と推察いたしております。

3.発生原因

インターネットから社内アクセスするためのVPN 装置が悪用され、ランサムウェアに不正に侵入されたものと見られます。その結果個人情報を含むデータの暗号化被害が発生いたしました。

4.二次被害またはそのおそれの有無

本事案に関し、現時点においてはデータの不正使用などの被害が発生した事実は確認されておりません。対象となったお客様には大変ご迷惑をおかけしますが、不審な問い合わせ等については十分ご注意いただきますようお願い申し上げます。弊社では被害の拡大防止に取り組んで参りますが、万一第三者によるデータの悪用が確認された場合に末尾記載のお問い合わせ窓口へ連絡いただきますようお願い申し上げます。

5.その他参考となる事項

本事案の対象になると考えられるお客様には、準備が整い次第個別に郵送にてご連絡させていただきます。また本事案に関してご不明な点がございましたら、下記のお問合せ窓口までご連絡をお願いいたします。2023年12月13日の事案発生後今回のご報告に至るまで時間を要しましたこと、深くお詫び申し上げます。弊社といたしましては不確定な情報による混乱を防ぐため、外部機関の調査結果を踏まえた上でのご報告が不可欠と判断いたしましたので、なにとぞご理解いただきたく存じます。なお、事案発生後ただちに個人情報保護委員会に報告し、また所轄警察署にも通報済みで今後の捜査にも全面的に協力してまいります。なお、ジャンプワールド運営会社である株式会社ジャンプのシステムには何の問題も生じておりませんのでご安心ください。

【セキュリティ事件簿#2024-014】愛媛県 県ホームページ内の電子行政サービス「オープンデータ」における 個人情報流出について


1 概要

県ホームページ内の電子行政サービス「オープンデータ」で、指定障害児通所支援事業所等一覧表をエクセルファイルで公開していますが、令和 5 年 12 月 21 日に一覧表を更新した際、誤って個人情報が含まれた作業用のファイルを添付して公開していました。

令和 6 年 1 月 11 日、障がい福祉課に対し、外部の方から、個人情報が記載されたデータが公開されているとの通報があり、状況を確認したところ、誤ったファイルが公開されていたことが確認されたことから、即時に公開データを削除しました。

誤って公開されていた状況は次のとおりです。 
  • 期間
     令和 5 年 12 月 21 日(木)~令和 6 年 1 月 11 日(木)
  •  内容
     公表データを作成するための作業用データで、公表すべき障害児通所支援事業所名や事業所所在地などのほかに、事業所の設置法人代表者と施設管理者の個人住所、及び苦情窓口担当者氏名が記載されたエクセルファイル
  • 事業所数
    延べ508事業所
    ※事業所種別:児童発達支援、放課後等デイサービス、保育所等訪問支援、居宅訪問型児童発達支援、障害児相談支援事業所、障害児入所施設
  • 個人情報件数(実数)
    • 設置法人代表者の個人住所 205件
    • 事業所管理者の個人住所 318件
    • 施設の苦情窓口担当者の氏名 238件 計761件

2 判明した日

令和 6 年 1 月 11 日(木) 

3 判明後の対応等

  • 1月18日付けで、対象者の方々に対し、本事案に関する状況説明及び謝罪の文書を発送しました。
  • 1月18日から、障害児通所事業所等の設置法人に電話連絡し、本事案に関する状況説明及び謝罪を行っています。
  • 現時点において、二次被害は確認されておりません。
  • オープンデータは現在、正しいデータを添付し公開しています。 

4 発生の経緯及び原因

当該サイトの更新について、令和 5 年 12 月 21 日に担当職員がデータを作成し、サイトに掲載するデータを更新する際に、誤って公表ファイルではない作業用ファイルを添付していました。
また、更新作業終了後、オープンデータへの掲載状況確認ができておらず、他職員による確認も行っていなかったことから、誤ったファイルが公開されたままとなっていました。 

5 再発防止策

  • 情報セキュリティポリシーの遵守はもとより、個人情報が含まれるデータを扱う際には細心の注意を払う必要があることを改めて職員に周知し、緊張感を持った業務遂行を徹底します。
  • 作業用ファイルでは個人情報を除いて作業するとともに、作業用ファイルにパスワードを設定する等、公表データ作成の手順を見直します。また、ホームページ更新時は、担当者が公表前にプレビュー機能等を活用して誤りがないか確認するとともに、上位の職員が確認したうえで更新し、更新後も複数職員で確認するよう徹底します。 

【セキュリティ事件簿#2024-013】埼玉県 生徒の個人情報の流出について


県立越谷東高等学校において、1学期の成績一覧表が流出する事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1  事故の概要

令和6年1月17日(水曜日)、県立越谷東高等学校の職員1名が、同職員が担任するクラスの生徒39名の1学期成績一覧表が印刷された用紙の裏に、生徒への指示をメモして、係の生徒に教室掲示させた。

同一覧表が印刷されていることに気付いた生徒が別の生徒に伝え、伝えられた生徒がスマートフォンのカメラ機能で同一覧表を撮影し、他の生徒に同一覧表の画像を送信した。

2  個人情報の内容

同職員の担任するクラス生徒39名分の氏名・各科目の1学期の成績・各科目の1学期の欠課時数

3  学校の対応

1月19日(金曜日)     

同一覧表の画像を送受信した生徒に、画像を削除するよう指示するとともに、送信した生徒については画像の消去を確認。

全校の生徒、保護者に対して、画像の拡散禁止及び削除を依頼。

1月22日(月曜日)~ 

画像を受信した生徒に再度、画像の転送を行っていないこと、画像を消去したことを確認し、緊急集会にて全校生徒に事故の概要を説明し謝罪するとともに、保護者説明会にて事故の概要を説明し謝罪。

4  再発防止策

今後、校長会議等を通じて、改めて全県立学校に個人情報の適正な管理を徹底するよう指示する。


【セキュリティ事件簿#2024-012】横浜市立みなと赤十字病院 個人情報の紛失について


このたび、当院におきまして、患者様の個人情報データを保存したUSBメモリを紛失したことが判明いたしました。

該当する患者の皆様、日頃より当院をご利用いただいている皆様にご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

当院といたしまして、本事案を重く受け止めており、全職員に対して個人情報の取り扱いを厳重に行うよう改めて院内規程の周知徹底を図るとともに、個人情報保護・情報セキュリティ研修を重ねて実施し、再発防止に取り組んでまいります。

なお、現時点で院外への情報流出は確認されておりません。

このたびの個人情報データには、電話番号、住所は含まれておりませんが、今後、見覚えのない問合せなど不審な連絡がございましたら、当院お問合せ窓口までご連絡ください。

1 事案発覚の経緯(下記経緯参照)

令和5年9月7日、職員(医師)が論文作成のため、当院の診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピーし、院内及び自宅で作業をしていました(12 月1日最終作業日)。12 月 28 日、当該 USB メモリがないことに気付き、年末年始にかけて探していましたが、見つからなかったため、令和6年1月9日、病院に紛失を報告し、発覚いたしました。

2 事案の内容

 紛失した USB メモリには、令和3年(2021 年)4月2日から令和5年(2023 年)9月7日までに当院循環器内科において、カテーテルアブレーション治療を実施した1,092 件分、1,011 名の患者様の診療データ(氏名、患者 ID、年齢、性別、生年月日、診断名(略記号)等)を保存しておりました。住所、電話番号は含まれておりません。当該 USB メモリ及びファイルには、パスワードを付けたか不明確でした。

※カテーテルアブレーション治療
アブレーション治療用のカテーテルで不整脈を起こす原因となっている異常な電気興奮
の発生箇所を焼き切る治療法です。

3 対 応

(1)紛失への対応
本事案発覚後、1月9日に横浜市、1月 10 日に国の「個人情報保護委員会」に「個人情報の保護に関する法律(個人情報保護法)」第 26 条及び「個人情報の保護に関する法律施行規則」第8条の規定に基づいて所定の届け出を行いました。

(2)当該患者様への対応
該当する患者様に対しまして、本事案についてのお詫びと一連の経緯を説明する書面をお送りしました(1月 16 日送付)。

4 再発防止策

個人情報の適切な取り扱いについて、院内での個人所有の記録媒体を使用禁止とし、業務上必要な場合には、病院の貸与するパスワードロック機能付きの記録媒体を使用するよう、院内規程及びマニュアルを見直しました。また、特に学術領域で個人情報を利用する場合に個人を特定できないような加工を行うことなど、院内規程及びマニュアルの遵守に関して、改めて全職員に対し、個人情報の取り扱いに関する研修及び情報セキュリティに関する研修を通じて、周知・徹底してまいります。

<経緯>

令和 5 年 9 月 7 日 
  • 職員(医師)が論文作成のため、診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピー(当該 USB メモリ及びデータファイルへのパスワード設定は不明)
  • USB メモリは、院内・自宅での作業で使用
令和 5 年 12 月 1 日 
  • 最後に当該 USB メモリを使用
令和 5 年 12 月 28 日 
  • USB メモリの紛失に気付く
令和 5 年 12 月 29 日 
  • 上司の医師に報告
令和 6 年 1 月 9 日 
  • USB メモリを発見できず当該医師と上司が病院に報告
  • 病院から横浜市に報告
令和 6 年 1 月 16 日 
  • 対象の患者様全員へ書面を発送し謝罪
  • 院内に問い合わせ窓口を設置