【セキュリティ事件簿#2024-258】浜松市 ロコモーショントレーニング事業における個人情報の漏洩に関するお詫びとご報告 2024/6/19

浜松市
 

この度、「ロコトレ事業登録団体一覧表」の掲載に際して、令和5年度時点での申請者様及び事務担当者様の個人情報が漏洩したことが判明いたしました。

つきましては、令和6年5月24日から令和6年6月13日までに、一覧表をダウンロードした方は、速やかにデータを削除していただくよう、お願い申し上げます。

多大なるご迷惑とご心配をおかけしていることを、皆様に深くお詫び申し上げますとともに、今回の事態を重く受け止め、今後、個人情報の管理には万全を期し、再発防止に努めてまいります。

概要

令和6年5月24日、本市ホームページに「ロコトレ事業登録団体一覧表」のエクセルファイルを掲載いたしましたが、令和6年6月13日、登録団体の関係者の方から、一覧表において個人情報が確認できるとの情報提供がありました。

本市で調査したところ、一覧表として表示された画面には個人情報は含まれませんが、パソコンを利用して特定の操作を加えることで、団体登録申請者及び事務担当者の個人情報が含まれた別のシートが表示されることが判明しました。なお、スマートフォンでは、別のシートを見ることはできません。

一覧表は、事実が判明した6月13日のうちに、個人情報を削除したものに差し替えました。

令和6年5月24日から6月13日までの掲載期間中における、本市ホームページの該当ページへのアクセス数は241件ですが、一覧表のダウンロード件数の確認は不可能でした。

リリース文アーカイブ

【セキュリティ事件簿#2024-257】群馬県 個人情報の不正使用について 2024/6/17

ぐんまフラワーパーク
ぐんまフラワーパークの年間パスポート購入者及びボランティアの個人情報が不正使用される事案が発生しました。

今後、このようなことが起きないよう適切な事務処理を徹底し、再発防止に万全を期してまいります。

1 概要

ぐんまフラワーパークの元指定管理者である(株)ぐんまフラワー管理は、指定管理期間(※注1)中に入手した個人情報(※注2)を自社で経営するレストランの集客のため、不正使用(営業案内ハガキの発送)しました。

1回目:令和6年2月上旬、園内ボランティア(111名)

2回目:令和6年5月29日、ぐんまフラワーパーク年間パスポート購入者(273名)

※注1 指定管理期間:平成18年4月1日から令和5年3月31日まで

※注2 ぐんまフラワーパーク年間パスポート購入者及び園内ボランティアの名簿

2 原因

(株)ぐんまフラワー管理は、指定管理期間満了後、個人情報を県へ直ちに引渡す義務を果たしていませんでした。

また、県も個人情報の引き渡しを指示せず、回収していなかったため、1年2か月の間、個人情報が適切に管理されていない状態にありました。

3 経緯

令和6年5月31日(金曜日)に「ぐんまフラワーパーク」の年間パスポートを購入していた方から営業案内ハガキが届いたとの連絡があり、個人情報の不正使用が発覚しました。

同日、県は、(株)ぐんまフラワー管理に出向き、年間パスポート購入者名簿(9,623名)やボランティア名簿(111名)などの個人情報を回収しました。

また、県は、(株)ぐんまフラワー管理に対して再発防止を指導するとともに、個人情報の完全な引渡しと不正使用を行わない旨の誓約書提出を求め、これを受領しました。

4 今後の対応

(1)謝罪・事実関係の説明

営業案内ハガキを受け取った方へは、県から、謝罪と事実関係を説明させていただく文書を発出いたします。

(2)再発防止の徹底

県が指定管理やその他の委託契約等で保有している個人情報などについて、契約終了後に確実に情報を回収するなど、契約等の厳守を徹底してまいります。

※本事案での第三者への個人情報の流出はありません

リリース文アーカイブ

【セキュリティ事件簿#2024-256】アカデミア・ミュージック株式会社 弊社が運営する EC サイト「アカデミア・ミュージック」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/6/18

アカデミア・ミュージック
 

このたび、弊社が運営する「アカデミア・ミュージック」におきまして、第三者による不正アクセスを受け、クレジットカード情報(4696 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024 年 1 月 15 日、警察から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡があり、2024 年 1 月 15 日および 2024 年 1 月 18 日、2024 年1 月 19 日に封じ込め措置を取りました。また、2024 年 1 月 25 日、カード会社よりクレジットカード決済を停止するよう連絡を受け、2024 年 1 月 25 日弊社が運営する「アカデミア・ミュージック」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024 年 4 月 1 日、調査機関による調査が完了し、2021 年 4 月 10 日~2024 年 1 月 14 日の期間に「アカデミア・ミュージック」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「アカデミア・ミュージック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021 年 4 月 10 日~2024 年 1 月 14 日の期間中に「アカデミア・ミュージック」においてクレジットカード決済をされたお客様 4324 名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・電話番号

上記に該当する 4324 名のお客様については、別途、電子メールにて個別にご連絡申し上げます 。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

なお、上記に該当するお客様のうち会員登録されているお客様 2092 名については、上記の項目のほか、以下の情報が漏洩した可能性があります。

・弊社サイトへのログインパスワード
・弊社サイトにご登録頂いたお名前
・弊社サイトにご登録頂いたお名前(ふりがな)
・弊社サイトにご登録頂いた会社名(任意項目)
・弊社サイトにご登録頂いたご住所
・弊社サイトにご登録頂いた FAX 番号(任意項目)
・弊社サイトにご登録頂いた生年月日(任意項目)
・弊社サイトにご登録頂いた性別(任意項目)
・弊社サイトにご登録頂いた職業(任意項目)
・弊社サイトにご登録頂いたお届け先
・ご注文履歴

会員登録されているお客様については、弊社サイトのログインパスワードをリセットさせて頂いております。

誠にお手数ではございますが、次回ご利用の際には、ログイン画面にて「ログイン情報をお忘れですか?」をクリックして頂き、パスワード再発行のお手続きをして頂きますようお願い申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024 年 1 月 15 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後のクレジットカード決済の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 1 月 19 日に報告済みであり、また、所轄警察署にも 2024 年 1 月 15 日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-255】森永製菓株式会社 不正アクセスによる役職員等の個人情報漏えいのおそれのお知らせとお詫び 2024/6/18

森永製菓
 

森永製菓株式会社のサーバー機器が外部からの不正アクセスを受け、当社およびグループ会社の役職員等の一部の個人情報が外部へ流出したおそれがあることが判明しました。

関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

なお、既に侵入経路を特定・遮断しており、現時点で不正使用などの二次被害は確認されていません。

【漏えいのおそれのある個人情報】

当社及びグループ会社の役職員、委託業務従事者(退職者、元従業者の一部を含む)の個人情報 4,882件

  • 氏名 
  • 所属(会社名、部署名等) 
  • メールアドレス(ドメイン名:@morinaga.co.jp/@morinaga.com)
  • 社内システムログインID  
  • 読み取り不可能なようにランダムな文字列に変換(ハッシュ化)されたパスワード

※お客様の個人情報は含まれておりません。

2024年4月9日、当社サーバーで不審な動作を認知後、すみやかに個人情報保護委員会へ報告いたしました。現在、外部の専門機関による調査を進めており、個人情報が外部に流出した明確な証拠は見つかっていませんが、漏えいの可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-254】松竹株式会社 個人情報が閲覧可能となる状態が 生じましたことに関するご報告とお詫び 2024/6/17

松竹
 

平素よりお引き立てを賜りまして誠にありがとうございます。

この度、弊社会員組織「松竹歌舞伎会」にて、大阪松竹座「七月大歌舞伎」の切符ご購入者様限定で募集いたしました「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」におきまして、ご応募いただきましたお客様の個人情報が、同様に当該申請フォームにアクセスされた方から閲覧可能な状態になっていたことが判明いたしました。

原因はご応募の方法として用いました Google フォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

・閲覧が可能となった個人情報の件数:111 件(111 名様分)

・閲覧が可能となっていた期間:

2024 年 6 月 11 日(火)16 時 30 分頃 ~ 同 6 月 12 日(水)12 時 50 分頃

・閲覧可能となりました個人情報:上記時間帯でご応募いただいたお客様の以下の情報

「歌舞伎会会員番号」「氏名」「参加人数」「メールアドレス」「郵便番号」「住所」個人情報が閲覧可能となりましたのは、当該フォームにアクセスが可能であった限定的なお客様であり、その他の外部から当該情報にアクセスできる状態ではございませんでした。

また各情報は個人毎には紐付けられない表示となっておりました為、個人を特定することは困難であると判断しております。対象者 111 名の皆様には、それぞれに文書にて弊社よりお詫びをお送りさせていただきました。

今後はこのような事態を起こさないよう、お客様にご利用いただくフォームの公開時におけるテスト確認とチェック体制の強化を図り、再発防止に努めてまいります。

重ねてお詫び申し上げますとともに今後ともご愛顧を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-252】川崎市社会福祉協議会 お詫びとご報告 2024/6/17

 

本会の実施事業の申込み受付において、誤った設定をしてしまったために、お申込み頂いた方の個人情報が一時的に他のお申込者様から閲覧できる状態となっておりました。

お申込み頂いた皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

【経緯】

社会福祉法人川崎市社会福祉協議会の支部である川崎区社会福祉協議会において、地域の主催事業の申込み受付を、5月23日より開始いたしました。

その後、6月5日に定員を超過したため申込みを終了しましたが、その際にお申込み者様より、申込み状況を確認したいというご要望をいただき、受付に使用した Google フォームを「結果の概要を表示する」に設定しました。

この設定の変更により、その後の申込フォームに設置される「前の回答を表示」というリンクを選ぶと、お申込み頂いた方の氏名、電話番号、メールアドレスがそれぞれの項目ごとに閲覧できる状況となっておりました。

氏名、電話、メールアドレスそれぞれの項目ごとにまとめられていたため、個人の情報を一体的に把握できる閲覧状況ではございませんでした。

お申込みいただいた方の人数は118名でした。

なお、6月14日にお申込み頂いた方より閲覧可能であるというご指摘をいただき、同日午前9時20分に設定を変更し、情報の閲覧を停止したところでございます。

【対応】

15日から17日にかけて、対象となる方全員へ電話及び電子メールにより、事態のご説明とお詫びの連絡を行っております。

また、本会の他の Google フォームについて全て確認を行い、同様の設定はしていないことを確認しております。

※全員にお電話をおかけする中100名の方には直接お話をさせていただいております。なお、18名の方については留守電及び電子メールでお詫びとご説明をさせていただいたところです(令和6年6月17日16時30分現在)

【再発防止策】

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を職員全員に周知徹底してまいります。

また、今後も継続的に個人情報保護およびセキュリティガイドラインの順守を徹底し、情報管理体制の強化に取り組んでまいります。

【セキュリティ事件簿#2024-217】東京都 委託事業者におけるコンピュータウイルス感染について 2024/6/17

イセトー
 

教育庁から「就学支援金受給資格認定審査等に係る運用業務委託」を受託している事業者(以下「受託事業者」といいます。)の再委託先である株式会社イセトー(以下「再委託先」といいます。)において、ランサムウェア被害が発生し、生徒等の個人情報が流出した可能性がありますので、お知らせします。

関係する生徒・保護者に対し深くお詫びするとともに、経緯等をお知らせします。

なお、現時点で第三者への流出は確認されていません。 

1 流出の可能性がある個人情報

令和5年度の就学支援金受給資格認定審査等に係る生徒19名及びその保護者18名の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)

2 経緯

(1) 令和6年5月26日(日)、再委託先のネットワークでランサムウェア被害が発生

(2) 令和6年6月6日(木)に受託事業者から、ランサムウェア被害が発生した再委託先の端末に令和5年度の生徒19名・保護者18名の個人情報が含まれている旨の連絡あり

なお、個人情報が含まれていたデータには、パスワードを設定していた。 

3 事故発生後の対応

(1) 受託事業者に対し、早急な調査の実施、調査結果の都への報告等を求めた。

(2) 当該保護者に対して、事故に係る説明・謝罪を行った。

4 再発防止策

今後、都として受託事業者の業務に対する監督指導の徹底を通じて、再発防止に向けて万全を期していく。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】西宮市 委託業務受託者へのサイバー攻撃について 2024/6/11

イセトー
 

1.事実(事故、事件)内容

本市が固定資産税・都市計画税納税通知書の封入封緘業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウィルスに感染し、個人情報流出のおそれがある事案が発生したと報告を受けました。

2.経過

5月26日 

株式会社イセトーがサイバー攻撃により身代金要求型ウィルス・ランサムウェアの被害にあったことが判明。

6月4日 

株式会社イセトーから、本市固定資産税・都市計画税納税通知書のデータ5件程度がランサムウェアに感染したサーバーに保存されていたとの報告を受ける。

6月6日 

株式会社イセトーの社内調査により、ランサムウェアに感染したサーバーに固定資産税・都市計画税納税通知書の宛名情報78件(住所、氏名、課税情報等)が保存されていたことが判明。

3.今後の対応等

現在のところ、個人情報の流出は確認されておりませんが、事業者が警察へ連絡の上、状況を確認中です。事業者に対し、流出の有無を確認するとともに、速やかな社内調査結果の詳細な報告と適切な対策を求めております。

本市としましては、報告内容等を精査の上、今後の対応を検討してまいります。

リリース文アーカイブ