【セキュリティ事件簿#2024-059】ダイキン工業株式会社 仕入先様情報の漏洩可能性に関するお詫びとお知らせについて 2024/2/16

この度、当社のシステム開発案件において委託先であるダイキン情報システム株式会社が発注している日本電気株式会社（本社：東京都港区、再委託先）の委託先会社（再々委託先）の作業者が、個人情報を含むダイキン工業および国内関係会社の仕入先様情報を委託された利用目的によらずに不正ダウンロードしたことを2023年12月24日に検知しましたが、更なる情報漏洩が無いかを作業者の情報機器を全て回収し調査致しました。

電磁的記録の詳細調査に時間を要しましたが、当該作業者から第三者への漏洩の痕跡は確認されず、現時点において二次被害があったという事実は確認されておりません。万が一のこともあり皆様にお知らせするとともに、ご心配・ご迷惑をおかけしますことを深くお詫び申し上げます。今後適切な再発防止策を講じることで皆様からの信頼回復に努めてまいります。

１．発生原因

委託先作業者が私用目的で不正に情報をダウンロードしたことにより漏洩の可能性が生じました。

２．不正にダウンロードされた個人情報

仕入先様情報に含まれる仕入先ご担当者様氏名/住所/電話番号/振込先情報　約2.2万件

３．仕入先ご担当者様へのお願い

仕入先ご担当者様におかれましては、不審な連絡などに十分ご注意いただきますよう、お願い申し上げます。

４．今後の対応について－再発防止策

当社ではこれまでもセキュリティ対策を講じてまいりましたが、今回の事態が発生したことを真摯に受け止め、あらためて情報セキュリティ対策のより一層の強化を図り、再発防止に努めてまいります。具体的には、個人情報への適切な範囲でのアクセス権限設定、社内ネットワークセキュリティ対策、および委託先選定基準のセキュリティチェックの更なる強化に取り組んでおります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-058】PCIホールディングス 株式会社 当社グループのクラウドサービスへの不正アクセス発生について 2024/2/19

当社の連結子会社であるＰＣＩソリューションズ株式会社は、特定顧客にサービス提供する為に利用しているクラウドサービスに不正アクセスがあり、格納するデータが削除される被害が発生したことを確認しましたのでお知らせします。

当該顧客には、通知ご説明済でシステムは復旧しており、他のシステムへの影響等もございません。

現在、ＰＣＩソリューションズ株式会社内に全社対策本部を設置、継続して調査を進めており、所轄警察署にも報告を行っております。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

現時点で判明している内容について、下記の通りご報告いたします。

1. 経緯

日本時間 2 月 6 日（火）9 時に当該顧客よりアクセス障害の連絡を受け、同日 11 時に当該インシデント（不正アクセス）により、格納するデータが削除される被害が発生していることを確認しました。直ちに、調査を開始し、迅速に対応を進めるべく全社対策本部を立ち上げました。

2. 現在の状況と今後の対応

今回の被害に対応した結果、既にシステムの復旧は完了しております。情報流出の有無については、引き続き調査中です。なお、現時点では削除された情報の中に個人情報は確認されておりません。

今後、公表すべき事項が判明した場合には、速やかに弊社 Web サイトにてお知らせいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-057】足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7

この度、当院にて不正アクセスが確認されました。

PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。

詳細は以下の通りです。

1.不正アクセス判明の経緯

資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。

内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。

2.不正アクセスがされた内容と対応

詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。

別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。

外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。

ログの調査は終了しており、外部への流出は認められませんでした。

3.病院運営及び個人情報への影響につきまして

医療情報システム（電子カルテ等）はインターネットから分離しており、診察への影響はございません。

当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。

院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。

4.今後の対応

セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-056】株式会社ビザビ 「備中あんたび２」サイクリングイベント参加者募集における個人情報の漏えいに関するお詫び 2024/1/29

このたび、株式会社ビザビが倉敷市から受託した「備中あんたび２」サイクリングイベント参加者募集において、参加申込者様の個人情報が閲覧できる状態になっていたことが判明いたしました。

参加申込者様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

現時点では本件による、当該個人情報の不正利用等の被害は報告されておりません。

弊社といたしましては、このような事態を招いたことを重く受け止め、再発防止の対策を講じてまいります。

お申込者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月19日、受託事業における専用の申込フォームを開設し、事業の参加申込を開始。

2024年1月22日、事業委託者より、株先会社ビザビに対し、外部から個人情報が閲覧可能になっているとの情報提供があったため、申込フォームの受付を至急停止するよう要請があり、速やかに、申込フォームの停止、削除を行い、その後は閲覧可能状態を是正した。

また、直ちに、32名のお申込者様へ電子メールとお電話にて謝罪と経緯の説明を行った。

2.対象の個人情報

お申込者様の氏名・住所・電話番号：32件

3.お申込者様への対応

個人情報が閲覧された可能性があるお申込者様には、電子メールとお電話にて、謝罪と経緯の説明を行いました。

4.再発防止に向けた対策

弊社ではこのたびの事態を厳粛に受け止め、全従業員を対象に、個人情報保護及び情報セキュリティ教育を徹底し、より一層の情報セキュリティ強化に取り組んでまいります。

改めて、お申込者様に多大なご迷惑とご心配をお掛けいたしましたこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2024年1月～2月）BY StealthMole

 

StealthMole（旧Dark Tracer）による、2024年1月～2月のランサムウェア被害を受けた日系企業のリスト。

shinwajpn.co.jp

• 組織名：進和外語アカデミー
• ランサムウエアギャング：LockBit

agc.com

• 組織名：AGC株式会社
• ランサムウエアギャング：Black Basta
• 関連事件簿：【セキュリティ事件簿#2023-485】ＡＧＣ株式会社　当社米国子会社への不正アクセスに伴うシステム障害について

soken-ce.co.jp

• 組織名：綜研化学株式会社
• ランサムウエアギャング：LockBit
• 関連事件簿：【セキュリティ事件簿#2024-001】綜研化学株式会社　ランサムウェア被害の発生について

【セキュリティ事件簿#2024-055】株式会社ラック オンライン受講システムでの個人情報漏えいの報告とお詫び 2024/2/21

当社ラックセキュリティアカデミーのオンライン受講システムにおいて、コース申し込みをいただいた方1名への情報閲覧の権限設定の際に作業ミスがありました。その結果、2024年1月10日～1月15日の間、1名の方が、過去に他のコースを受講した19名の方々のお名前、メールアドレス、受講履歴などの個人情報を閲覧できる状態になっていました。

通報を受けた後、直ちに原因と影響範囲の調査、および設定ミスの修正を実施し、ご迷惑をおかけした皆様（合計20名）への連絡と謝罪をおこないました。さらに、オンライン受講システム上のすべての登録データを調査し、同様の問題が無いこと、通報いただいた1名の方以外に受講者情報が漏えいしていないことを確認し、一連の経緯を関係機関へ報告しました。

あらためて今回の設定ミスによりご迷惑をおかけした皆様へお詫びするとともに、今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります。

リリース文（アーカイブ）

PontaポイントからJALのマイル交換で20％のレートアップキャンペーン（2024年3月1日～3月31日）

 

キャンペーン期間

2024年3月1日（金）～3月31日（日）

※2024年3月31日（日）午後11時59分までにマイルへの交換申込完了が必須

キャンペーン詳細

期間中、Pontaポイントからマイルへの交換を申し込むと、通常の交換マイル＋20%分ボーナスマイルをプレゼント

例：100Pontaポイント交換した場合、通常50マイルのところ、さらにボーナスマイル10マイルをプレゼント。（合計60マイル）

※1マイル未満の端数は切り捨て。

対象者

JMB×Ponta会員または、JMBローソンPontaカードVisaを持っている人

ボーナスマイル積算時期

2024年4月末頃予定

※通常マイルと別に積算

コメント

ポイントは貯めるだけではなく、使っていくことにも慣れることが重要。

Pontaはポイント数の変動があれば有効期限が伸びていくが使い方を忘れると大変なので、保有ポイントの10%をJALに移行することにする。

【セキュリティ事件簿#2024-054】個人情報保護委員会 株式会社四谷大塚に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/29

 

個人情報保護委員会（以下「当委員会」という。）は、令和６年２月 29 日、株式会社四谷大塚（以下「四谷大塚」という。）における個人情報等の取扱いについて、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）第 147 条の規定による指導等を行った。

１．事案の概要

本件は、中学受験のための学習塾を運営する四谷大塚において、令和４年４月～令和５年８月まで勤務していたＸが、在職中に、Ａ校舎に通う小学生児童（以下「在校児童」という。）の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Ｘの私用スマートフォンに入力して記録し、６人分の個人データ（氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。）をＸの SNSアカウントに掲載して漏えいさせた事案である（以下「本件漏えい事案」という。）。

２．事実関係

(1) 事案発覚の経緯

四谷大塚は、令和５年８月 10 日、メディア関係者から、Ｘが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Ｘから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム（以下「本件システム」という。）について、Ｘのアクセス権を停止するとともに警察に通報した。

(2) Ｘによる在校児童の個人データ持ち出しの態様

四谷大塚によれば、Ｘは、令和４年４月に採用され、Ａ校舎に所属し、理科、算数及び国語の授業を担当していたところ、解雇された令和５年８月頃までに、自身に業務上付与された ID 及びパスワードで本件システムにログインし、在校児童の個人データを検索し閲覧した。そして、Ｘは、自身のスマートフォンに、個人データを打ち込んで記録し、６人分の本件個人データを SNS アカウントに送信して投稿した。

(3) 当委員会に対する漏えい等報告の提出の状況

四谷大塚は、当委員会に対し、法第 26 条第１項の規定に基づき、令和５年 10 月６日付けで漏えい等報告書（速報）を提出し、同月 13 日付けで漏えい等報告書（確報）を提出した（個人情報の保護に関する法律施行規則（平成 28 年個人情報保護委員会規則第３号。以下「規則」という。）第７条第３号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告）。

３．法律上の問題点－安全管理措置（法第 23 条）の不備

法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン（通則編）（以下「ガイドライン」という。）「10（別添）講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。

四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人（令和６年１月１日現在）の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。

こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。

本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。

(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、安全管理措置を講ずるための組織体制を整備しなければならず（10-3(1)組織体制の整備）、また、漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならないとされている（10-3(4)漏えい等事案に対応する体制の整備）。

しかしながら、四谷大塚では、大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった。そのため、令和５年８月10 日に本件漏えい事態が発覚してから約２か月後の、同年 10 月６日に速報、同月 13 日に確報を提出したものである。

ガイドラインにおいて、速報の提出期限である「速やか」の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね３～５日以内とされている（3-5-3-3 速報（規則第８条第１項関係））。また、確報の提出期限については、規則第８条第２項において「当該事態を知った日から 30 日以内（当該事態が前条第３号に定めるものである場合にあっては、60 日以内）」とされている。しかし、四谷大塚が速報を提出したのは、本件事態の発覚日から 58 日目であり、確報を提出したのは 65日目であることから、組織体制の整備及び漏えい等事案に対応する体制整備に不備があったものと認められる。

(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならないとされている（10-3(5)取扱状況の把握及び安全管理措置の見直し）。

四谷大塚によれば、責任者である塾長（会社全体を統括する者）が定期的に内部監査を実施していたとのことであるが、監査の項目は、研修の実施状況を確認するにとどまるものであり、個人データの取扱状況については確認していなかった。

したがって、四谷大塚においては、個人データの取扱状況の把握及び安全管理措置の見直しに不備があったものと認められる。

(3) 小括

このように四谷大塚においては、組織的安全管理措置（組織体制の整備、漏えい等事案に対応する体制の整備、並びに取扱状況の把握及び安全管理措置の見直し）に不備が認められた。四谷大塚においては、本件漏えい事案を重く受け止め、こどもの個人データを取り扱う事業者として、今回の指導事項を含め、個人データの安全管理措置の実施について、より一層留意するべきである。

４．指導等の内容

(1) 法第 147 条の規定による指導

• 個人データの安全管理措置を講ずるための組織体制を整備すること。
• 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
• 個人データの取扱状況を確認するために、定期的に監査を実施すること。
• 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し（必要に応じて見直すことを含む。）、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。

(2) 法第 146 条第１項の規定による報告等の求め

• 指導に係る改善措置の実施状況について令和６年５月 31 日（金）までに関係資料を添付の上、報告するよう求める。

リリース文（アーカイブ）