【セキュリティ事件簿#2024-250】静岡県 一日体験入学参加申込みをした中学生氏名の流出について 2024/6/11

下田高等学校
 

県立下田高等学校において、同校の「中学生一日体験入学」の参加申込みをGoogleフォームで行ったところ、設定ミスにより、一定の操作を行うと申込者136人の氏名を申込者が閲覧できる状態になっていた。なお、漏洩した情報は氏名・ふりがなのみであり、その他の入力情報は集計結果のみが閲覧可能となっており、氏名と紐付けされていない。

また、現在までSNS等への氏名の流出は確認されていない。

(概 要)

1 閲覧可能期間

令和6年5月17日(金)~令和6年6月10日(月)

2 閲覧できた内容

・申込者氏名・ふりがな

・中学校別人数の割合

・保護者の参加・不参加の割合

・理数科・普通科の申込み人数の割合

・理数科の理科・数学の体験授業希望の割合

※申込者氏名と他の情報(各種申込状況)とは紐づけされていない。

3 閲覧が可能であった中学生の人数

136人(6月10日確認時点)

4 問題の認知

6月10日(月)午後4時頃、申込者の中学校から電話連絡を受けた。

(原 因)

・フォームの設定時に、通常設定ではオフになっている「結果の概要を表示する」タブをオンにしてしまったこと。

(対 応)

1 学校の対応

・6月10日(月)の中学校からの連絡後、すぐに「結果の概要を表示する」タブをオフにし、閲覧できない状態にした。

・中学校長あて謝罪文を通知する。

・閲覧が可能となっていた136人の中学生へ謝罪メールを送信する。

2 当該校の再発防止策

・学校情報セキュリティ手順の再確認を行い、複数チェック体制を強化する。

・管理職によるコンプライアンス向上研修を実施する。

3 県教委による再発防止策

・個人情報収集時の注意点について、全県立学校に周知する。

・当該校に対し県教委による情報セキュリティに関する臨時の監査及び研修を実施する。

リリース文アーカイブ

Labels:
Location: 日本、静岡県

【セキュリティ事件簿#2024-001】綜研化学株式会社 ランサムウェア被害の発生について 2024/6/14


当社は、2024 年 3 月 5 日(火)に「ランサムウェア被害の発生について(第三報)」を公表し、当社の子会社である綜研テクニックス㈱(以下「子会社」といいます。)に関する情報の一部が流出した旨をご報告いたしましたが、その後の調査により、さらに当社及び子会社に関する情報の一部が流出していることが確認されました。つきましては、現時点で判明している事実と今後の対応についてお知らせいたします。

お取引先様、関係先の皆様に多大なるご迷惑とご心配をお掛けしておりますことを、改めて深くお詫び申し上げます。

1.発覚の経緯と現状

2024 年 1 月 9 日(火)、当社サーバーに保存されていた各種ファイルが暗号化されていることが確認されたことから、直ちに調査した結果、当社サーバーがランサムウェアの被害を受けたことが判明いたしました。その後、子会社に関する情報の一部の流出が確認されましたことは、2024年 3 月 5 日(火)公表の「ランサムウェア被害の発生について(第三報)」においてご報告いたしましたとおりです。

これに加え、2024 年 5 月 10 日(金)、当社が依頼しております外部専門調査会社から、当社及び子会社に関する情報の一部が外部に流出していたことが判明した旨の連絡があり、当社においてもその事実を確認いたしました。これにつきまして、当社及び子会社は、速やかに個人情報保護委員会に対して報告するとともに、警察、弁護士、外部専門調査会社等と引き続き連携して対応しております。

2024 年 6 月 7 日(金)までの調査及び分析の結果、当社及び子会社から外部に流出した可能性のある情報は以下のとおりです。

また、現時点で、流出した情報の不正利用等の二次被害は確認されておりませんが、引き続き事態の把握に努めてまいります。

当社から流出した可能性のある情報

取引等に関する情報(約 6,505 社)

✓当社のお取引先様、関係先様に関する情報
会社名、取引製品情報、取引数量など

個人情報(約 16,241 名)

✓当社のお取引先様、関係先様に関する情報
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓当社の従業員(退職者を含む。)に関する情報
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

子会社から流出した可能性のある情報

取引等に関する情報(約 955 社)

✓子会社のお取引先様、関係先様に関する情報
会社名、取引製品情報、取引数量など

個人情報(約 3,167 名)

✓子会社のお取引先様、関係先様に関する情報
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓子会社の従業員(退職者を含む。)に関する情報
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

2.対応状況

当社といたしましては、二次被害の防止を最優先に考え、情報が流出した可能性のある方々に対して順次ご通知を差し上げております。当社ではご連絡先を確認できないこと等により、個別にご通知申し上げることが難しいお取引先様、関係先様及び関係者の皆様につきましては、本公表をもってご通知に代えさせていただきたいと存じます。

なお、今回ランサムウェアの被害を受けたサーバー、システム等は既に使用を中止しており、それらから完全に隔離された新たなネットワークに切り替えた上、セキュリティに万全の注意を払って運用しております。今回の被害を受けて一旦使用を中止した各種の社内システムにつきましても、新環境の下で段階的に復旧を進めており、製品の納入等のお取引が滞ることのないよう、引き続き鋭意対応してまいります。

本件による業績への影響につきましては現在精査中ですが、現時点で大きな影響はないものと考えております。


【2024年1月10日リリース分】
Labels:

【セキュリティ事件簿#2024-249】名古屋大学医学部附属病 学生の不適切なSNS投稿及び個人情報の漏えいに関するお詫び 2024/6/14

名古屋大学医学部附属病
 

名古屋大学大学院医学系研究科の学生が、令和2年3月、SNSに名古屋大学医学部附属病院の患者様2名の電子カルテ画面の写真を投稿し、当該写真には、患者様の個人情報(氏名、入院診療科名及び電子カルテ上の日時)が映っていることが判明いたしました。

こうした経緯から、本院としては、当該患者様及びご家族の皆様に、状況を説明し、お詫びいたしました。

また、当該患者様情報とは別に、個人は特定されないものの、手術画像等の写真を投稿した不適切な行為があったことも判明いたしました。

これらの投稿はすでに削除しており、これまでに本件情報が不正に使用された事実は確認されておりません。

本院では、これまでも個人情報の保護について配慮を行っておりますが、このような事態を発生させ、関係する皆様にご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

このたびの事態を重く受け止め、学生への個人情報保護及び倫理教育を徹底し、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-248】ケンブリッジ大学出版 サイバーセキュリティ攻撃による当社システム障害について 2024/6/14

 

サイバーセキュリティ攻撃により、当社の出版業務の一部に影響を及ぼす社内システムに不具合が生じており、現在復旧に向けて迅速に対応しております。 予防措置として、メール及び社内システムの一部に利用制限がかかっております。皆さまにはご迷惑をおかけしておりますが、ご理解とご協力の程お願い申し上げます。

復旧に関しては、下記サイトにて適宜ご案内しております。

https://www.cambridge.org/news-and-insights/technical-incident

なお、試験運営及びCambridge Oneを含む学習プラットフォームは影響を受けておらず、通常通り稼働しておりますためご安心ください。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-247】東京都 受託者における個人情報の漏えいについて 2024/6/14

セレブリックス
 

デジタルサービス局と委託契約を締結している株式会社博報堂プロダクツの再委託先である株式会社セレブリックスにおいて個人情報の漏えい事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故概要

高齢者向けスマートフォン体験会及び相談会の運営委託事業者(株式会社博報堂プロダクツ)の再委託先(株式会社セレブリックス)が、アシスタント及びアドバイザーとして採用したTOKYOスマホサポーター(以下「スマホサポーター」という。)等のうち75名分の個人情報について、下記期間の勤務調整用フォームに登録したスマホサポーター等が一定の操作を行うと、閲覧できる状態になっていた。これは当該事業者が開設したフォームの閲覧権限設定のミスによるものである。

(1)発生期間

5月24日(金曜日)20時47分から6月12日(水曜日)15時00分頃

(2)漏えいした個人情報

株式会社セレブリックスが採用したスマホサポーター等のうち、上記期間にフォームに登録した75名分の氏名及び60名分の最寄り駅

2 経緯

(1)5月24日(金曜日)

株式会社セレブリックスが採用したスマホサポーター等が、同社が開設した勤務調整用フォームにより、スマートフォン体験会及び相談会への勤務の可否等の登録を開始した。

(2)6月12日(水曜日)15時00分頃

上記フォームに登録したスマホサポーター(1名)から、株式会社セレブリックスへ、他のスマホサポーター等の個人情報が閲覧できる状態になっている旨の連絡があった。

同社の担当者が、個人情報を閲覧できないように権限設定を変更した。

(3)6月12日(水曜日)17時00分頃

上記スマホサポーターから、東京都が委託するスマホサポーター制度運営事務局(TOPPAN株式会社)へ同様の内容の連絡があった。

(4)6月13日(木曜日)11時00分頃

スマホサポーター制度運営事務局から都へ(3)の報告があり、事故が判明した。

3 発生原因

本来、勤務調整用フォームから登録された個人情報の閲覧権限は株式会社セレブリックスの担当者にのみ設定されるべきであったが、フォームに登録したすべてのスマホサポーター等に閲覧権限が誤って設定されていた。

4 事故発生後の対応

個人情報が漏えいした75名に都職員が電話で連絡し、経緯の説明と謝罪を行った。連絡のつかなかった方には、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

現時点で、二次被害等の報告は受けていない。

5 再発防止策

株式会社博報堂プロダクツ及び株式会社セレブリックスに対し、厳重に注意を行いました。

今後、両社に対して、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底し、再発防止を図ってまいります。

デジタルサービス局内において、委託業務に係る個人情報の適切な管理について、改めて注意喚起を行いました。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-246】株式会社BANDAI SPIRITS 「プレミアムバンダイ」会員情報の漏えいのおそれに関するお詫びとお知らせ 2024/6/11

 

当社が運営する「プレミアムバンダイ」に関する開発保守支援等の業務委託先(以下「委託先」といいます。)におきまして、お客様の個人情報が漏えいしたおそれのある事案が発生したことが判明いたしました。お客様には多大なるご心配とご迷惑をおかけしますこと、深くお詫び申し上げます。

なお、漏えいのおそれのあるお客様の個人情報にはログインパスワードやクレジットカード番号は含まれておらず、現時点において、個人情報の不正利用等の二次被害は確認されておりません。対象のお客様へは、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

当社では、今回の事態を厳粛に受け止め、委託先の監督強化を含む再発防止のための対策を講じてまいります。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

1. 本件の概要及び原因

2019年11月27日、委託先において、同社従業員が私物の外付けハードディスク(以下「本件ハードディスク」といいます。)を業務に使用し、2023年12月末頃、データを削除せずに本件ハードディスクを廃棄しました。

2024年4月6日、本件ハードディスクを入手した方から委託先に対し、委託先の情報が含まれている旨の連絡を受けたため調査を行ったところ、本件ハードディスクには、お客様の情報が含まれていることが発覚しました。

2. 漏えいしたおそれのあるお客様の情報

1)2012年11月実施のキャンペーンに参加された一部のお客様情報

メールアドレス 233件

2)2013年11月18日に出荷したお客様情報

住所、氏名、電話番号 1,951件

3. 二次被害又はそのおそれの有無及びその内容

サーフェスウェブ及びダークウェブのモニタリングを実施しておりますが、個人情報が外部へ流出した事実は確認できず、データが外部へ漏えいした可能性は極めて低いと考えられます。現在まで、本件に起因する個人情報の不正利用等の二次被害は確認されておりません。

なお、本件につきましては、個人情報保護委員会への報告を実施済みであり、今後も必要に応じてこれらの関係機関と連携し対応を進めていく予定です。

4. 再発防止策

当社は今回の事態を重く受け止め、委託先に対する個人情報保護管理・情報管理・情報セキュリティ管理に関する安全管理措置の強化を指導するとともに、定期的な確認を行い、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-232】株式会社キューヘン 社内ネットワークの一部への不正アクセスについて 2024/6/13

キューヘン
 

現在、被害状況については、引き続き調査を行っていますが、不正アクセスがあった情報の中に、新たに約27万件の個人情報について漏えいするおそれがあることがわかりました。

このうち約25万件については、当社がこれまで給湯器販売等を行ってきた個人情報、また約2万件については過去に当社が九州電力殿から電化機器のPR業務で委託を受けていた個人情報です。

先にプレスリリースした約10万4千件と合わせて約37万4千件となります。

本件に関しては関係機関へ追加で報告しており、今後、当該お客さまにも個別でのご連絡および当社ホームページにてご案内をしてまいります。

お客さまや関係者の皆さまにはご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

リリース文アーカイブ

【2024年6月3日リリース分】

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-245】杏林大学 不正アクセスによる情報漏えいのおそれがある事案の発生について 2024/6/12

杏林大学
この度、本学職員のパーソナルコンピューター(PC)が不正アクセスを受け、個人情報が漏えいしたおそれがあることが判明しました。

本年5月上旬に本学職員が、業務中に偶然、詐欺サイトをクリックした結果、外部から不正なアクセスを受けるという事象が発生しました。当該PCには、下記の情報が含まれておりました。

・ 患者情報(患者ID・生年月日・診断名・検査結果 77人分)

・ 治験等の臨床研究に関する情報(3件)

・ 学生の成績に関する情報(119人分)

上記情報に関係する皆さまに対しては、個別に連絡させていただく予定であり、現在その準備を進めているところです。また、本事案については、すでに関連行政機関への報告を済ませております。さらに、外部調査機関による被害状況及び影響範囲の調査を行う予定です。

なお、本日までに本事案に関わる被害は確認されておりません。

今回このような事案が発生し、関係の皆さまには多大なご迷惑をおかけすることになり、深くお詫び申し上げます。今後は情報セキュリティ教育の更なる充実を図り、全ての職員に対し、個人情報の取り扱いや不正アクセスに対する予防、対応等について周知を徹底するなど、再発防止に努めて参ります。

以上、取り急ぎご報告致します。詳細につきましては状況が判明次第、改めてご報告させていただく予定です。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)