区ががん検診等ご案内帳票類の印刷、封入及び発送業務を委託している事業者において、一部のサーバーにランサムウェア被害が発生しました。
委託業者担当者より、大田区民の情報はランサムウェア被害に遭ったネットワークと遮断されているため、個人情報流出のおそれはないとの報告を受けました。
委託業者の調査の結果、被害にあったサーバーに以下の個人情報を含むデータが保存されていたとの報告を受けました。
令和6年度がん検診受診券の画像データ(対象者の氏名、住所等) 46名分
株式会社イセトーに対し、引続き個人情報流出の有無の確認を継続するとともに、速やかな調査の実施、報告と適切な対応を求めてまいります。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
2024年1月18日、千葉県警本部サイバー犯罪対策課より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月18日、本件サイト内でのカード決済を停止いたしました。 同時に、第三者調査機関による調査も開始いたしました。2024年3月14日、調査機関による調査が完了し、2021年5月21日~2024年1月2日の期間に本件サイトで購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また2024年2月13日までに本件サイトにおいて会員登録されたお客様の個人情報が閲覧された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
本件サイトのシステムの一部の脆弱性をつき、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。
2021年5月21日~2024年1月2日の期間中に本件サイトにおいてクレジットカード決済をされたお客様1054名につきまして、以下の情報が漏洩した可能性ございます。
・クレジットカード番号
・有効期限
・セキュリティコード
・本件サイトのログイン情報(メールアドレス、パスワード、電話番号)
上記2(1)同様、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。
2024年2月13日までに本件サイトにおいて会員登録をされたお客様3126名につきましては、以下の情報を閲覧された可能性がございます。
・氏名
・住所
・電話番号
・メールアドレス
・団体名
・性別
・注文情報(※)
(※)ご購入されたお客様
上記2及び3に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にて個別にご連絡させていただきます。
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記2(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
2021年5月21日~2024年1月2日の期間中に本件サイトからクレジットカードでご購入されたお客様におかれましては、たいへんお手数ですが、ログインパスワードの再設定をお願いいたします。
ログインパスワードの再設定はこちら(https://alpha-uni.com/mypage/login)
なお、2024年7月にオープンいたします新システムの移行の際には、再度パスワードの設定を重ねてお願い申し上げます。
2024年1月18日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて新システムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。 また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年1月24日に報告済みであり、また、所轄警察署にも2024年2月7日被害申告しており、今後捜査にも全面的に協力してまいります。
改修後の「アルファユニ公式ショップ」の再開日につきましては、2024年7月を予定しており、決定次第、改めてWebサイト上にてお知らせいたします。
県立下田高等学校において、同校の「中学生一日体験入学」の参加申込みをGoogleフォームで行ったところ、設定ミスにより、一定の操作を行うと申込者136人の氏名を申込者が閲覧できる状態になっていた。なお、漏洩した情報は氏名・ふりがなのみであり、その他の入力情報は集計結果のみが閲覧可能となっており、氏名と紐付けされていない。
また、現在までSNS等への氏名の流出は確認されていない。
令和6年5月17日(金)~令和6年6月10日(月)
・申込者氏名・ふりがな
・中学校別人数の割合
・保護者の参加・不参加の割合
・理数科・普通科の申込み人数の割合
・理数科の理科・数学の体験授業希望の割合
※申込者氏名と他の情報(各種申込状況)とは紐づけされていない。
136人(6月10日確認時点)
6月10日(月)午後4時頃、申込者の中学校から電話連絡を受けた。
・フォームの設定時に、通常設定ではオフになっている「結果の概要を表示する」タブをオンにしてしまったこと。
・6月10日(月)の中学校からの連絡後、すぐに「結果の概要を表示する」タブをオフにし、閲覧できない状態にした。
・中学校長あて謝罪文を通知する。
・閲覧が可能となっていた136人の中学生へ謝罪メールを送信する。
・学校情報セキュリティ手順の再確認を行い、複数チェック体制を強化する。
・管理職によるコンプライアンス向上研修を実施する。
・個人情報収集時の注意点について、全県立学校に周知する。
・当該校に対し県教委による情報セキュリティに関する臨時の監査及び研修を実施する。
会社名、取引製品情報、取引数量など
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など
会社名、取引製品情報、取引数量など
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など
名古屋大学大学院医学系研究科の学生が、令和2年3月、SNSに名古屋大学医学部附属病院の患者様2名の電子カルテ画面の写真を投稿し、当該写真には、患者様の個人情報(氏名、入院診療科名及び電子カルテ上の日時)が映っていることが判明いたしました。
こうした経緯から、本院としては、当該患者様及びご家族の皆様に、状況を説明し、お詫びいたしました。
また、当該患者様情報とは別に、個人は特定されないものの、手術画像等の写真を投稿した不適切な行為があったことも判明いたしました。
これらの投稿はすでに削除しており、これまでに本件情報が不正に使用された事実は確認されておりません。
本院では、これまでも個人情報の保護について配慮を行っておりますが、このような事態を発生させ、関係する皆様にご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。
このたびの事態を重く受け止め、学生への個人情報保護及び倫理教育を徹底し、再発防止に努めてまいります。
サイバーセキュリティ攻撃により、当社の出版業務の一部に影響を及ぼす社内システムに不具合が生じており、現在復旧に向けて迅速に対応しております。 予防措置として、メール及び社内システムの一部に利用制限がかかっております。皆さまにはご迷惑をおかけしておりますが、ご理解とご協力の程お願い申し上げます。
復旧に関しては、下記サイトにて適宜ご案内しております。
https://www.cambridge.org/news-and-insights/technical-incident
なお、試験運営及びCambridge Oneを含む学習プラットフォームは影響を受けておらず、通常通り稼働しておりますためご安心ください。
デジタルサービス局と委託契約を締結している株式会社博報堂プロダクツの再委託先である株式会社セレブリックスにおいて個人情報の漏えい事故が発生しましたので、お知らせします。
関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。
今後、再発防止に向け、より一層の情報管理を徹底してまいります。
高齢者向けスマートフォン体験会及び相談会の運営委託事業者(株式会社博報堂プロダクツ)の再委託先(株式会社セレブリックス)が、アシスタント及びアドバイザーとして採用したTOKYOスマホサポーター(以下「スマホサポーター」という。)等のうち75名分の個人情報について、下記期間の勤務調整用フォームに登録したスマホサポーター等が一定の操作を行うと、閲覧できる状態になっていた。これは当該事業者が開設したフォームの閲覧権限設定のミスによるものである。
5月24日(金曜日)20時47分から6月12日(水曜日)15時00分頃
株式会社セレブリックスが採用したスマホサポーター等のうち、上記期間にフォームに登録した75名分の氏名及び60名分の最寄り駅
株式会社セレブリックスが採用したスマホサポーター等が、同社が開設した勤務調整用フォームにより、スマートフォン体験会及び相談会への勤務の可否等の登録を開始した。
上記フォームに登録したスマホサポーター(1名)から、株式会社セレブリックスへ、他のスマホサポーター等の個人情報が閲覧できる状態になっている旨の連絡があった。
同社の担当者が、個人情報を閲覧できないように権限設定を変更した。
上記スマホサポーターから、東京都が委託するスマホサポーター制度運営事務局(TOPPAN株式会社)へ同様の内容の連絡があった。
スマホサポーター制度運営事務局から都へ(3)の報告があり、事故が判明した。
本来、勤務調整用フォームから登録された個人情報の閲覧権限は株式会社セレブリックスの担当者にのみ設定されるべきであったが、フォームに登録したすべてのスマホサポーター等に閲覧権限が誤って設定されていた。
個人情報が漏えいした75名に都職員が電話で連絡し、経緯の説明と謝罪を行った。連絡のつかなかった方には、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。
現時点で、二次被害等の報告は受けていない。
株式会社博報堂プロダクツ及び株式会社セレブリックスに対し、厳重に注意を行いました。
今後、両社に対して、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底し、再発防止を図ってまいります。
デジタルサービス局内において、委託業務に係る個人情報の適切な管理について、改めて注意喚起を行いました。