【セキュリティ事件簿#2024-033】「東京ヴェルディ公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ

このたび、弊社が運営する「東京ヴェルディ公式オンラインストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（2,726件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報漏洩が懸念されるとの連絡を受け、同日弊社が運営する「東京ヴェルディ公式オンラインストア」を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年1月16日、調査機関による調査が完了し、2023年8月22日～2023年12月20日の期間に「東京ヴェルディ公式オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「東京ヴェルディ公式オンラインストア」システムの開発管理者アカウントへの不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2023年8月22日～2023年12月20日の期間中に「東京ヴェルディ公式オンラインストア」においてクレジットカード決済をされたお客様2,726名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する2,726名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月21日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の「東京ヴェルディ公式オンラインストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月22日に速報した後、2024年1月26日に続報を実施済みであり、また、所轄警察署にも2023年12月25日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-030】関東ITソフトウェア健康保険組合 委託事業における個人情報漏えい事案について

 

関東ITソフトウェア健康保険組合（以下「当組合」という。）が健康診断等業務を委託している慈恵医大晴海トリトンクリニック（以下「受託者」という。）において、下記のとおり受託者が健診結果データを他の事業所に誤送付した事案が判明しました。

関係者の皆様にはご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

受託者に対しては、健診結果データの作成・送付に関し、データの取扱いとヒューマンエラーを起こさないシステムの構築及び運用変更後の実効性の確認などの再発防止策を講じるよう指示しており、更なる安全性の確保に努めてまいります。

1. 令和5年12月8日（金）、同年10月受診分の健診結果データを、受託者がA事業所にCD-Rで送付したところ、当該事業所以外に所属の13社117名の健診結果データが収録されていたことが、令和6年1月5日（金）、受託者より当組合に報告され情報漏えいが判明した。（A事業所から受託者への連絡も同日）
   
   
2. 当該CD-Rについては、A事業所担当者１名、限定された者にて管理され、当該データ及びCD-Rは速やかに破棄されており、個人情報漏えいの二次被害がないことを確認した。
   
   
3. 関東信越厚生局及び個人情報保護委員会に本事案について、当組合より令和6年1月9日（火）報告済みである。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について

このたび、厚生労働省において、職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたことにより、休日、夜間等に業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、令和６年１月23日（火）に判明しました。当該メールには、行政機関の職員の公務用メールアドレスや私人の電話番号などの個人情報が含まれており、それらが漏えいしました（詳細は後述）。

事案の概要その他再発防止策等について下記のとおりお知らせいたします。

関係者の皆さまに深くお詫びしますとともに、再発防止のため、しっかりと取り組んでまいります。

１．事案の概要

職員の緊急連絡先である私用メールアドレスが本人により誤って登録されたことにより、令和５年９月15日（金）以降、休日などに業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、当該誤登録者の報告により、令和６年１月23日（火）に判明。

今回の事案において個人情報が漏えいした者は675名。

うち、

　・　公務メールアドレスが漏えいした行政機関職員は650名、

　・　電話番号が漏えいした私人は、25名

であることを確認した。

２．発生原因

職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたこと。

また、誤登録後、当該職員において、休日、夜間等もリモートアクセスによる公務メールアドレスを用いた対応のみを行っていたため、私用メールアドレスにおける業務上のメール受信の有無の確認が行われなかったこと。

３．本事案に関する対応状況（被害の状況等）

誤送信先に対し、謝罪や削除依頼等の連絡をしている（当該誤送信先である、誤登録されたメールアドレスの所有者からの応答はこれまでない）。

４．再発防止策

テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する。

５．関係者への説明

個人情報が漏えいした行政機関職員や私人への謝罪（お手紙）の送付を行う予定。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて

 

このたび、欧州における当社子会社「Meiko Europe N.V. （以下、ME）」において、2024年1月6日に第三者による不正アクセスを確認しました。

本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。

関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。

また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について

この度、本年 1 月 16 日（火）に、弊社を含むグループ企業等で利用するネットワークが第三者による不正アクセスを受けたことを確認しました。社内調査を実施した結果、不正アクセスにより、弊社サーバのデータの一部が読み出されたことが判明しました。

弊社は、危機管理委員会にて本件の対策方針を定め、現在、外部の専門機関等とも連携し、調査を進めております。今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、不正アクセスを確認後、速やかに関係機関への報告を行うとともに、外部からのアクセスを制限するなどの対策は実施済みです。

本件に関し、ご心配をお掛けしますことを深くお詫び申し上げます。

リリース文（アーカイブ）

サイバーセキュリティ・キャリア・フレームワークを使うべきか？

サイバーセキュリティ分野における最大の問題の1つは、技術革新に対応して役割と関連スキルセットが時とともに有機的に進化してきたことです。このため、雇用主によって同じ職務に割り当てられるスキルセットが異なることがよくあり、現在のスキル不足によって状況はさらに悪化しています。

このような食い違いは、企業にとっては人員計画を立てることを、求職者にとってはどのようにキャリアを築くべきかを判断することを、ともに非常に困難にしています。これを解決するために、必要とされていた透明性をもたらすキャリア・フレームワークが開発されました。これらのフレームワークは、候補者と職務をより正確にマッチングさせることで、雇用慣行と定着率の向上に役立つはずです。

米国のNICE

現在、多くのフレームワークが開発されており、それぞれ成熟度が異なっています。米国は、米国国立標準技術研究所（NIST）の「サイバーセキュリティ教育のための国家イニシアチブ（NICE）」でリードしており、当初は連邦省庁向けに開発されましたが、2020年に改訂されて以来、広く商業的に採用され始めています。NICE は、何が必要かを記述したタスク、知識、スキル（TKS）ステートメントで構成され、受験者はこれらに関連するコンピテンシーを達成することができます。雇用主はこれらのコンピテンシーを参照し、職務記述書に記載することになります。33の専門分野と52の職務をカバーする7つのカテゴリーがあるが、紛らわしいことに、1つの職務に複数の職務が含まれることもあります。

NICEには多くの側面があり、そのために理解するのが難しいかもしれません。そこで、National Initiative for Cybersecurity Careers and Studies（NICCS）は、ユーザーがフレームワークを理解するのを支援するために、Cyber Career Pathways Toolを開発しました。このツールは、どのスキルがどの職務に関連しているかを示し、また、転職を検討している候補者が関連職種を見極めるのに役立ちます。

英国のCCF

英国では、サイバーセキュリティ協議会（Cyber Security Council）がサイバー・キャリア・フレームワーク（Cyber Career Framework）を開発しています。このフレームワークは、16の専門分野を網羅し、労働生活、責任、給与、知識、スキル、転職（出世または横への移動）、資格に関する詳細情報を提供しています。

さらに、同協議会は今年初めに、インタラクティブなキャリアマッピングツールを展開しました。このツールは、サイバーセキュリティ分野でのキャリアを模索するために、他の分野から転職を希望する人々をサポートする目的で作成されました。

このフレームワークはまだ完成しておらず、Cyber Security Profession Chartered Standards (CSPCS) と並行して展開されています。CSPCSは、16の専門分野ごとに3つの認定基準（Associate、Principal、そして憧れのCharteredステータス）を提供することを目指しており、2025年までに大規模な改革を完了させる予定です。

EUのECSF

EUにおける欧州サイバーセキュリティ・スキルフレームワーク（ECSF）は、Enisa（欧州ネットワーク情報セキュリティ機関）が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO（European Cyber Security Organisation）から提供された3つのユースケースも含まれています。

これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。

日本のSecBok

情報セキュリティ知識分野（SecBoK）人材スキルマップは、セキュリティ関連の業務に従事する人材が必要とする知識とスキルを体系的に整理したものです。このスキルマップは、セキュリティの専門家から大学生まで、幅広い人々にとって参考資料として活用されています。

SecBoKは、16の役割（ロール）ごとに必要な前提スキルと必須スキルを詳細にまとめています。例えば、CISO（Chief Information Security Officer）、脆弱性診断士、インシデントハンドラーなど、さまざまなセキュリティ職種についての情報が含まれています。

特徴的な点として、以下の3つが挙げられます:

• 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
• Job description（ジョブディスクリプション）の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
• プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。

このスキルマップは、セキュリティ分野の混乱を減少させ、潜在的な採用者にとって敷居を低くすることを目指しています。

何を選択するか？

雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。

求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。

しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。

さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。

数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。

出典1：Should You Be Using a Cybersecurity Careers Framework?

出典2：セキュリティ知識分野（SecBoK）人材スキルマップ2021年版

【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について

この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。

恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。

1. 紛失の経緯

令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。

同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。

2. 紛失したUSBメモリに保存されでいた個人情報

①患者情報

・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分

・氏名、転院先、死亡日                    3, 605名分

②職員情報 (面談記録、勤務表)                     8名分

なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。

3. 現在までの対応

対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。

また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。

4. 再発防止策

全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。

この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、第三者からのサイバー攻撃によりホームページが改ざんされていた事が判明いたしました。

ご利用いただいておりますお客様の皆様には多大なご迷惑、ご心配をお掛けしたことを深くお詫び申し上げます。現在、原因と影響の調査を進めており、ホームページを閉じさせていただいております。

当サーバにはお客様の個人情報は保存されておりませんので、個人情報の流出はない見込みです。（お問い合わせなどでホームページより入力いただいた情報はホームページ内には保存されておりません。また、会員制サイトのお客様情報は設定されたIDと暗号化されたパスワード情報のみが保存されています）

改ざん内容

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、ホームページ（三浦工業※1）にアクセスすると別サイト（アラビア語の通販サイト）へ誘導される状況が確認されました。

※1対象サイト　コーポレート・製品サイト(miuraz.co.jp)　

　　               　 カタログ会員サイトMyMIURA（mymiura.com）

ご利用のお客様へのお願い

上記期間中に、ホームページ（三浦工業※1）にアクセスされた可能性のあるお客様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。

また、参照先の不正なホームページにおいてIDやパスワードを入力してしまった場合は、同じパスワードを使っている全システム（他社サイトを含む）のパスワードを変更いただきます様、お願いいたします。

会員制サイトのIDにメールアドレスをご登録いただいていたお客様もおられましたので、こちらは個別にご連絡差し上げます。

今後原因や影響が判明した場合には本ホームページで引き続き報告させていただきます。

リリース文（アーカイブ）