【セキュリティ事件簿#2024-304】バリューマネジメント株式会社 「祇園祭観覧席付ご宿泊プラン」募集において 個人情報が閲覧可能な状態になっていた事象について 2024/7/11

 

この度、バリューマネジメント株式会社が企画し、三井住友トラストクラブ株式会社がダイナースクラブ会員様にご案内した「祇園祭観覧席付ご宿泊プラン」に申込フォームを通じて、応募された会員様の個人情報が閲覧できる状態になっていたことが判明しました。対象となるお客様および関係者の皆様にご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

■概要

令和6年7月6日(土)ダイナースクラブ会員向けにご用意した「祇園祭観覧席付ご宿泊プラン」をご覧になったダイナースクラブ会員様より、三井住友トラストクラブ株式会社宛に、抽選応募フォームにて他の応募者の個人情報が閲覧できる旨の連絡が入りました。

令和6年7月8日(月)午前、三井住友トラストクラブ株式会社より当社へ報告と調査依頼の連絡が入り、応募フォームの調査を進めた結果、弊社のフォーム設定の不備により、フォーム編集ページにアクセスでき、他の応募者の個人情報(応募者が応募時に入力した名前、メールアドレス、電話番号)が閲覧出来る状態になっていました。

該当の応募フォームはすでに削除いたしました。

■閲覧可能であった個人情報と期間

・応募者333名の氏名、電話番号、メールアドレス

・令和6年6月14日(金)14時30分から、7月8日(月)午前10時半頃

■原因

今回、オンラインフォーム作成ツールにGoogleフォームを使用し抽選応募受付を行っております。 お申し出いただいた⽅の内容を拝⾒し、第三者では閲覧できないはずのフォーム編集ペー ジが閲覧可能になっており、申込フォームの設置(フォーム編集ページのアクセス権限の設定)に不備があったことが原因と考えられます。

■今後の対応

再発防⽌のため、より⾼いセキュリティ対策が施されたフォームシステムの利⽤、 フォーム作成・個⼈情報関連を扱う業務におけるマニュアルの改善、ならびに当社従業員 全員に向けて個⼈情報保護及び情報セキュリティポリシー等の周知徹底に務めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-303】電気通信大学 本学オープンキャンパスの申込フォームにおける個人情報の漏洩について 2024/7/4

電気通信大学
 

本学オープンキャンパスのウェブサイト「施設見学ツアー」イベント申込フォームに設定上の不備があり、6月26日(水)から6月29日(土)まで申込者86名の氏名および高校名が他の申込者より閲覧できる状態となっておりました。

6月29日(土)に当該フォームの運用を停止しました。

申込者以外の第三者からは閲覧できないことを確認しており、現在のところ申込者以外の第三者への漏洩は確認されておりません。

参加申し込みをされた方々に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

今後は、このような事案を発生させないよう学内に対して注意喚起を行うとともに、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-302】京都府警が京都の事業者インシデントゼロを目指して構築したサイトでインシデント発生 2024/7/4


京都府警は7月4日、府警が事務局を務める中小企業向けの情報セキュリティ支援サイトが改竄(かいざん)され、アクセスしようとすると別のサイトに接続される状態になっていたことを明らかにした。不正アクセスを受けたとみられる。府警は利用者のメールアドレスなどの個人情報が流出した可能性は低いとしている。

サイトは「京都中小企業情報セキュリティ支援ネットワーク Ksisnet(ケーシスネット)」。府警が事務局として運営に関わり、京都府内の中小企業を対象に情報セキュリティに関する情報発信などを行っていた。サイトのサーバ管理は京都市内のWeb制作会社に委託していたという。

府警によると、2日午後5時ごろ、サイトの更新作業を行っていた府警の担当者が改竄に気付いた。サイトにアクセスしようとすると、スポーツ賭博関連のサイトを紹介しているとみられる中国語のサイトに接続される状態になっていたという。府警はサイトを停止、原因を調査している。

Labels:

【セキュリティ事件簿#2024-301】岩手県立大学 岩手県立大学サマーセミナー 2024 へ参加申込みをされた方の個人情報が 閲覧可能な状態になっていたことについての御報告 2024/7/10

岩手県立大学
 

このたび、岩手県立大学サマーセミナー 2024 申込みフォームの設定誤りにより、申込みフォーム上で、参加 申込者が他の申込者の情報(申込みフォームに入力した全情報)を閲覧できる状態にあったことが判明しました 。

参加申込みをされた皆様、関係機関の皆様に、多大なる御迷惑をおかけする事態になりましたことを心よりお詫び申し上げます。

本学としては、このような事態を招いたことを重く受け止め、個人情報の適正な取扱いを一層徹底するとともに、再発防止に努めてまいります。

1 概要

本学サマーセミナー2024 の参加者を申込みフォームより募集しておりましたが、Google フォームの設定ミスにより、申込みフォーム上で参加申込者が他の申込者の情報を閲覧できる状態にあったことが判明しました。

本事案が発覚した令和6年7月6日午後に申込みフォームの設定を変更し、現在は、他の申込者の情報を閲覧できない状態であるこ とを確認しております。

なお、これまでのところ、個人情報が悪用されたなどの被害相談はありません。

2 閲覧できる状態であった個人情報

(1)該当される方

岩手県立大学サマーセミナー 2024 申込フォームにより

令和6年7月6日(土)午前 11 時 48 分までに参加申込みされた方

(高校生 60 名)

(2)閲覧可能期間

令和6年6月 24 日(月)~令和6年7月6日(土)午後 0時 43 分

(3)個人情報の内容

ア 氏名(フリガナ)

イ 郵便番号

ウ 住所

エ 電話番号

オ メールアドレス

カ 学校名、学年

3 原因

申込みフォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報を閲覧できる状態となっておりました。

4 対応状況

令和6年7月6日(土)、申込者からの メール連絡を受け、同日午後0時 43 分に申込みフォームの設定を変更し、個人情報が閲覧できる状態を解消しました。

令和6年7月8日には、個人情報が閲覧される状態にあった申込者 60 名に電子メールにより、お詫びと経緯の報告を行いました。

また、令和6年7月9日には、申込者の所属する高等学校長等関係機関に文書によりお詫びと経緯の報告を行いました。

なお、本事案の発生を受け、本学事務局において Google フォームを利用している事業について直ちに確認した結果、同様の事案は発生していないことを確認しております。

5 再発防止策

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての教育を徹底するとともに、申込みフォーム作成に当たっては複数の担当者によるチェックを行うなど実効的な措置を講じ、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-266】株式会社ベルシステム 24 ホールディングス 海外子会社のシステムに対する不正アクセスについて 2024/7/11

 

6 月 17 日(月)に発覚いたしました、当社子会社「BELLSYSTEM24 VIETNAM Inc.(ベルシステム 24 ベトナム)」が利用するサーバーへの不正アクセスの発生により、多大なるご心配とご迷惑をおかけいたしましたこと深くお詫び申し上げます。

現在、当社対策本部にて統制をとり、ベルシステム 24 ベトナムと連携しながら、外部専門家の協力のもと対応を進めております。ベルシステム 24 ベトナムでは、被害を受けたサーバーを停止し、クライアント企業各社様のデータを取り扱う領域とは切り離し業務遂行しております。

フォレンジック調査会社など専門家を含め被害状況の調査を継続中ですが、このたび一部のクライアント企業様からコールセンター受託業務にてお預かりしているお客様情報が漏洩した可能性があることが判明しました。該当のクライアント企業様にはすでに連携を開始しております。

この度の事態を真摯に受け止め、引き続き外部専門家と連携のうえ、調査を継続するとともに捜査機関にも都度連絡を行っております。今後、お知らせすべき事項が判明しましたら、速やかに開示いたします。

関係者の皆様に多大なるご心配、ご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【2024年6月21日】

Labels:

【セキュリティ事件簿#2024-300】一般財団法人不動産適正取引推進機構 令和 6 年度宅地建物取引土資格試験における個人情報の漏えいについて 2024/7/5

 

当機構が各都道府県知事から委任を受けている宅地建物取引士資格試験の実施事務に際し、下記の通り、個人情報の漏洩が発生いたしました。 誠に申し訳ありませんでした。

関係する皆様に深くお詫びいたしますとともに、現時点で判明している事項をご報告いたします。

また、受験希望者の皆様で、 下記の「マイページ」 の登録に係るシステムの異常にお気づきの方は、問合せ先 (03-3435-8181) までご一報頂ければ幸いです。

1 漏えいの概要

① 漏えいした情報と漏えい先

1) 受験希望者の氏名 (カナ) が他の受験希望者に漏洩しました。

2) 受験希望者のメールアドレスが他の受験希望者に漏洩しました。

※ 現時点では 1) 及び 2) それぞそれ 2 件発生していることが確認されています。

② 漏えいの経緯

  • 受験希望者の方 (A 様) が宅地建物取引土資格試験の申し込みを行うため、 A 様のメールアドレスを登録して宅建試験システムのマイページを作成し、本人情報を登録しようとしたところ、 当該メールアドレスに別人 (B 様) 宛のマイページ登録完了メールが届くという事案が発生しました。

  • 当該登録完了メールはB様の氏名 (カナ) が記載されており、A様が B 様の氏名(カナ) を知りえる状況が発生しました。

  • また、B 様がA様と同様のマイページ作成作業を行っている際に、A 様のメールアドレスを知りえる状況が発生しました。

  • この件については、7 月3日 (水) にA様からご連絡があり、個人情報の漏洩が判明いたしました。

  • 調査の結果、これまでにご連絡を頂いた件を含めて同様の状況が 2 件発生していたことがわかりました。

2 漏えいの原因、他の漏えいの有無、対応等

① 原因

  • 現在調査中です。

② 他の漏えいの有無

  • 現在調査中です。

③ これまでの対応

  • 原因となっている可能性のある部分について、システムのブログラムを改修しました。

  • 漏えいの事実が確認された 2 件の受験希望者の方計4 名に対して、連絡の取れた方から順次、事実関係をお伝えするとともに、謝罪を行っております。

④ 今後の対応

  • 引き続き原因の特定と個人情報漏えいの範囲について調査を行っています。

  • 今回の第 1 報を通じ、受験申込者の皆様に同様の異常の発生に関する情報提供を頂けますようお願いいたします。

  • 本件の状況については、今後も報告してまいります。
Labels:

【セキュリティ事件簿#2024-275】東京海上日動火災保険株式会社 当社業務委託先におけるランサムウェア被害に伴う 情報漏えいのおそれについて 2024/7/10

髙野総合会計事務所
 

当社が損害査定業務等の一部業務を委託している税理士法人髙野総合会計事務所(以下「髙野総合会計」)のサーバにおいてランサムウェア被害が発生し、当社お客様情報の漏えいのおそれがあることが、髙野総合会計からの報告により判明いたしました。

お客様および関係者の皆様に大変なご心配、ご迷惑をおかけすることとなり深くお詫び申し上げます。

<情報漏えいのおそれがある当社お客様情報>(本日時点)

① 当社の一部の損害査定業務に係る項目:計 3,957 件

【保険種目】

・専門職業人賠償責任保険(3,691 件) ・請負賠償責任保険(3 件)
・施設賠償責任保険(5 件) ・生産物賠償責任保険(3 件)
・その他賠償責任保険(7 件) ・信用保険(246 件)
・動産総合保険※2(1 件) ・自動車保険(1 件)

【含まれる個人情報】

契約者の氏名、被保険者の氏名・住所・電話番号、証券番号、保険事故のお相手様※3の
氏名、損害査定のためにご提出頂いた書類一式、髙野総合会計が損害査定を実施した結
果の報告書等

② 当社浜松支店(旧:浜松支社)の一部委託先の財務状況に係る項目:計 11 件

【含まれる個人情報】

委託先従業員の氏名・生年月日・雇用形態・職務・給与情報等

※2 動産総合保険の賠償責任担保条項に係る保険事故が対象となります。

※3 保険事故のお相手様とは、賠償責任保険および動産総合保険の賠償責任担保条項において被保険者に損害賠償請求を行われた方、信用保険において被保険者の取引先(債務者)または従業員の方をいいます。

なお、現時点で髙野総合会計からは以下の報告を受けております。
  • 2024 年 6 月 4 日に髙野総合会計のデータサーバにおいてアラートを検知し調査した結果、データサーバの一部で保管しているファイルが暗号化され、情報漏えいのおそれがあることを確認した。

  • 現在、外部の専門家と連携し、全容把握のための調査を継続している。
当社では、情報漏えいのおそれがあるお客様情報について特定を進めており、特定できたお客様については、速やかに通知してまいります。なお、現時点で情報の不正利用は確認されておりません。

Labels:

【セキュリティ事件簿#2024-299】東京都 個人情報の漏えいについて 2024/7/8

東京しごと財団
 

(公財)東京しごと財団(以下、財団という。)において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、このようなことのないよう、情報管理を徹底してまいります。

1 事故の概要

財団では、「シニア中小企業サポート人材プログラム」として、再就職を目指す方に向けたプログラムを提供し、受講された方のうち希望者について企業への人材情報の提供を行い、企業からの面接のリクエストにつなげる支援を実施している。

このたび、この支援を希望された方56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。

2 発生日時

令和6年7月3日(水曜日)17時26分

3 漏えいした個人情報

本来送信予定の項目

「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目

上記に加え、「漢字氏名」「年齢」「性別」

4 経緯

(1)令和6年7月3日(水曜日)17時26分、財団の職員が、488社に対し、匿名加工が施されていない受講者56名の個人情報が含まれた事務局用ファイルをメールで送信。

(2)同日17時40分、当該職員が送信したメールを確認し、誤ったファイルの送信を発見。

(3)同日17時49分、メール削除依頼のメールを全ての宛先(488社)に送信。あわせて、個別に電話やメールで連絡し、謝罪及び削除の依頼を開始。

同月8日(月曜日)までに486社に連絡が終了。連絡のついていない残り2社については、メールで経緯の説明及び削除依頼を行うとともに、継続して電話で連絡をしている。

(4)同月4日(木曜日)、受講者56名に対して、状況の説明と謝罪を開始し、同月8日(月曜日)までに55名に連絡が終了。連絡のついていない残り1名については、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

(5)現時点で二次被害等の報告はない。

5 再発防止策

  • 個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。

  • 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)