【セキュリティ事件簿#2024-280】株式会社ファーストリテイリング 当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 2024/7/2

UNIQLO
この度、株式会社ファーストリテイリング(以下、当社)が管理する情報システムにおいて、個人情報の取扱いに不備があり、当社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、当社担当部署の調査により判明しました。

お客様および関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。

なお、この情報システムへのアクセスが可能だったのは、当社および委託先事業者の担当従業員に限られており、これらの者による当該情報システムからの個人情報の持ち出しは確認されておりません。また、当該情報システムへのアクセスはシステム上厳しく制限されており、これらの者以外の第三者によるアクセスについても確認されておりません。

本公表文では、個人情報の保護に関する法律に則り、本事案の発生から発覚に至った経緯、およびこれまでに当社が行なってきた対応、ならびに今後当社が行う対応についてご報告いたします。

経緯

2024年1月、お客様に提供するサービスの稼働状況を監視するための情報システム(以下、本情報システム)において、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、当社担当部署の従業員が確認し、直ちに本情報システムへのアクセスを遮断しました。

その後、速やかに個人情報保護委員会へ報告を行い、本情報システムに個人情報が含まれていることを検知、隔離をする仕組みと運用を整備しました。

そのうえで、本事案の影響について調査を行った結果、当社グループのオンラインストアを含むいくつかのサービスにおいて、2023年6月から2024年1月までの間、一部のお客様の個人情報が本情報システムに保存される設定となっていたことが判明しました。本来、本情報システムは個人情報を保存するための仕組みではありませんが、結果として、当社が個人情報の取り扱いを委託していない一部の委託先事業者についても、本情報システムに保存された個人情報の閲覧が可能な状態となっていました。

本情報システムは、あらかじめ許可された当社および委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないよう厳しく制限されております。この制限が有効に機能していることの確認と併せ、本情報システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認しました。

また、個人情報にアクセスが可能となっていた委託先事業者とは、業務委託開始前に秘密保持契約を締結しており、さらに、本事案を受けて個人情報の保存や持ち出しをしていないことについて、改めて書面で確認を得ています。

なお、本事案は、上記期間中、当社グループのサービスをご利用いただいた全てのお客様において発生したものではなく、特定の条件下においてのみ発生したことが確認できており、現在も本事案の対象となったお客様を、正確に特定するための調査を継続しております。

本事案の対象となった個人情報

2023年6月から2024年1月までの間に、当社グループのオンラインストア又は店舗等をご利用になったお客様に関する個人情報のうち、以下のものに限られております。なお、閲覧が可能な状態にあった個人情報に、クレジットカード情報、オンラインストアのパスワードは含まれておりません。

1) 当社グループのオンラインストアをご利用いただいたお客様の氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報

2) 当社グループの店舗にご来店いただいた際、他店舗から商品の取り寄せをご希望されたお客様の氏名、電話番号、Eメールアドレス

3) 当社グループの運営する着こなし発見アプリ「スタイルヒント」をご利用いただいたお客様のEメールアドレス

お客様への対応について

本事案の対象であることが確認できたお客様には、当社グループのサービスにご登録いただいたメールアドレス宛に電子メール、またはご登録いただいた住所宛にお手紙にて、順次個別にご連絡をさしあげます。

本事案が発生した原因と再発防止に向けて

当社グループの情報システムの開発段階における仕様の確認、およびその運用段階におけるモニタリングが不十分であったことが原因です。

今後、当社グループの情報システムの開発、および運用において、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続を改めて整備し、また、問題発生時に速やかな検知と是正をすることを含めた運用を徹底することで、同様の事案が発生しないように努めてまいります。

本事案の公表までに時間を要した経緯

2024年1月に発覚した本事案の公表に時間を要しましたこと、深くお詫び申し上げます。

不確定な情報や誤った調査結果に基づいた公表をすることは、皆様の混乱を招き、更なるご心配をおかけするおそれがあると判断し、慎重に調査を進めてまいりました。

なお、現在も調査を継続しておりますが、調査の完了に向けて一定の目処がついたため、今回の公表に至りました。

今回、このような事案を発生させてしまいましたこと、また、調査に時間を要したことで本事案の発覚から公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-279】秋田県立医療療育センター Webサイト改ざんに関するご報告とお詫び 2024/7/2

秋田県立医療療育センター
 

このたび、当センターWebサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

ご利用いただいております皆さまにご心配やご迷惑、ご不便をおかけしましたこと、お詫び申し上げます。

また、当センターWebサイト上で入力いただいた情報はサイト内に保存されておりませんので、個人情報の流出はなく、被害の連絡もいただいておりません。

改ざん期間:令和6年7月1日(月)6時42分から18時6分まで

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のある皆さまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、ウイルスチェック等のご対応をお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】広島県 印刷業務委託先のランサムウェア被害の発生について 2024/7/2

イセトー
 

個人事業税等の納税通知書などの印刷業務を委託している事業者(株式会社イセトー広島支店)から、コンピュータウィルスであるランサムウェアの攻撃により、個人情報流出の事案が発生したとの報告がありました。

​なお、同社が受託している他自治体等における類似業務においても同様の被害が発生しており、本県における被害も、そのうちの一部とのことです。

1.流出のおそれがあるデータ

令和5年度に印刷用に事業者に提供した個人事業税と自動車税種別割に係る住所・氏名等のデータ101件 

※ 現在、個人情報が流出した件数、対象人数、流出した内容などについて調査中です。

2.経過

5月29日 

株式会社イセトーから同社のサーバー等が身代金要求型ウィルス・ランサムウェアに感染したとの報告があった。

なお、この時点では「広島県のデータについて個人情報の流出は確認されていない」との報告を受けていた。​

6月6日 

印刷業務の作業途中で発生する一部のデータについて漏えいの恐れがある旨の報告を同社から受けた。

なお、この時点においても、「広島県のデータについては個人情報の流出は確認されていない」との報告を受けていた。

7月1日 

社内調査が進む中、本県関係を含む一部データの流出が確認された旨の報告を受けた。

3.今後の対応

株式会社イセトーに対し、速やかな詳細調査の実施、報告と適切な対策の実施を指示しています。

本県としては、同社からの流出件数や内容についての報告を受け、対象者へのお詫びなどを進めるとともに、今回の流出原因を踏まえ、対策を行います。

なお、本件に関しては、全容が判明次第、改めてお知らせいたします。

リリース文(アーカイブ)

ランサムウェアギャングが発表した被害組織リスト(2024年6月)

 

2024年6月のランサムウェア被害を受けた日系企業のリスト。

Nidec Motor Corporation

組織名

ニデックモータ株式会社

ランサムウエアギャング

8base

関連事件簿

【セキュリティ事件簿#2024-237】ニデックインスツルメンツ株式会社 弊社にて発生したセキュリティインシデントについて 2024/6/27


sanyo-shokai.co.jp

 組織名

株式会社三陽商会

ランサムウエアギャング

cactus

その他


KADOKAWA Corporation

組織名

株式会社KADOKAWA

ランサムウエアギャング

blacksuit

関連事件簿

【セキュリティ事件簿#2024-241】株式会社KADOKAWA KADOKAWAグループにおける システム障害及び事業活動の現状について 2024/6/27 

【セキュリティ事件簿#2024-217】株式会社ローソン銀行 当行の委託業者におけるランサムウェア被害に関するお知らせ  2024/6/21

イセトー
 

当行が業務の一部(帳票等の印刷や発送等)を委託している株式会社イセトーにおいて、ランサムウェアの被害を受けたことが判明いたしました(https://www.iseto.co.jp/)。

現時点では、委託先からお客さま情報の流出等に関する報告は受けておりませんが、実際の情報流出の有無、および範囲の特定には専門家分析が必要なことから、同社では現在、外部専門家による調査を開始しております。

お客さまにはご心配をおかけしますことを深くお詫び申し上げます。今後、新たな事実が判明した場合は、改めてお知らせいたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】沼津信用金庫 当金庫の委託業者における情報漏洩の可能性について 2024/6/27

 

当金庫から各種ご案内帳票の作成・発送業務を委託しております株式会社東海信金ビジネス(以下、同社)より、当該業務の再委託先である株式会社イセトー(以下、委託先)が 2024 年 5 月 26 日にランサムウェア被害を受け当金庫のお客様情報が外部に情報漏洩した可能性がある旨の報告を受けております。

現在時点において、当金庫のお客様について情報漏洩の被害は確認されていないとの報告を受けておりますが、実際の情報漏洩の有無および影響範囲等の詳細な被害状況の特定においては専門的分析が必要なことから、委託先では捜査機関や外部専門家による調査を進めており、今後の調査の進捗次第では当金庫のお客様においても情報漏洩の可能性がある旨の報告も受けております。

委託先による調査の状況・結果を順次報告してまいります。お客様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

【セキュリティ事件簿#2024-217】三井住友海上あいおい生命保険株式会社 当社の委託業者における情報流出の可能性について 2024/6/7

イセトー
 

このたび、当社の業務委託先である株式会社イセトーが、その一部サーバーや PC のファイルが暗号化されるランサムウェア被害を受けたことが判明いたしました(https://www.iseto.co.jp/)。

同社から、データを暗号化され、窃取された疑いがあるデータの一部に、当社のお客さま情報(主に郵便番号、住所、氏名)※が含まれていた可能性がある旨、報告を受けまして、現在、詳細の確認を行っております。

※ 口座情報、クレジットカード情報、および健康状態などのセンシティブな情報は、含まれておりません。

同社によれば、現時点での情報流出は確認されていないとのことですが、実際の情報流出の有無および範囲の特定には専門的分析が必要なことから、同社では現在外部専門家による調査を開始しております。

調査の結果を踏まえまして、対象となるお客さまに速やかにご連絡いたします。

お客さまに多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

当社は株式会社イセトーとともに、誠実に対応にあたりますとともに、今後、同様の事態を生じさせないよう、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】横須賀市 委託業務受託事業者のサーバーに対する不正アクセスについて 2024/6/7

イセトー
 

このたび、令和5年の統一地方選挙時において、業務委託を行った事業者(以下、受託事業者)のサーバーがランサムウエアによる被害を受け、その中に本市18人分の有権者の個人情報(住所・氏名)が含まれており、外部に情報が流出した可能性がある旨の報告を受けました。

このような事態を発生させ、市民の皆様へ多大なご迷惑とご心配をおかけしますことに深くお詫び申し上げます。

1.事案の概要

(1)受託事業者

株式会社イセトー横浜支店

(2)委託内容(委託期間)

令和5年執行統一地方選挙投票案内作成委託業務

(令和5年2月1日~4月23日)

(3)外部に流出した可能性のある個人情報(項目及び件数)

項目:住所、氏名

件数:18人分

2.発生の経緯

令和6年5月26日に受託事業者のサーバーがランサムウエアによる被害を受けました。

令和6年6月6日に本市の有権者の個人情報が含まれている旨が判明し、受託事業者から事故に至った経緯について、次のとおり説明がありました。

  • 本市からの委託業務である投票案内の印刷、封入・封緘、郵便局への持ち込みのうち、封入・封緘する工程は、別の事業者に再委託していた。

  • 封入・封緘の作業において18人分の破損が生じた。

  • 破損分は再度印刷する必要があるため、再委託先の事業者が破損した宛名券面を写真に撮り、画像データにした上で、受託事業者に電子メールで送信した。

  • 電子メールを受信した受託事業者が、画像データをパソコン内にダウンロードし消去されずに残っていたため、今回のランサムウエアによる被害を受けた。

現時点では、情報が流出した事実は確認できておりませんが、受託事業者では、対策本部を設置のうえ、外部専門家と連携し調査を継続中とのことです。

3.今後の対応について

同様の事案が発生しないよう、受託事業者とともに業務プロセスの改善を計るとともに、流出した可能性がある個人情報に関しては必要な措置を講じてまいります。

リリース文アーカイブ