【セキュリティ事件簿#2024-316】かみいち総合病院 個人情報の漏えいについて 2024/7/18

 

この度、当院において下記のとおり個人情報の漏えいがありました。

患者様の大切な情報をお預かりしています病院として、患者様及びその御家族様に御心配と御迷惑をおかけしましたことを深くお詫び申し上げます。

今後、同様の事案が発生しないよう、職員に対し、個人情報の適切な取扱いについて改めて周知徹底し、再発防止に努めてまいります。

1 概要

当院の職員が委託業者に業務上必要なデータを送信する際に、送信する必要のない個人情報データを誤って送信したもの

2 発生状況等

 (1) 発生日・発覚日 令和6年7月10日(水)

 (2) 誤送信した個人情報の内容

ア 入院患者(4人)の氏名及び年齢並びに病名及び診療状況

イ 退院患者(1人)の氏名及び年齢

 (3) 発生状況

ア 入院患者様から申込みがあった入院セット(※)利用申込書を委託業者に送信するため、職員が当該申込書をスキャナで一括して自動読取りし送信

イ 全てを読取り送信した直後に、当該申込書と関係のない書類(病棟管理日誌(1枚))を一緒に送信してしまったことに気づく。

※入院生活に必要な衣類、タオル、紙おむつ等の日常生活用品のレンタルサービス

3 発生原因

送信する前に送信する書類の確認がされていませんでした。

4 発生後に行った対応

 (1) 誤送信したデータの削除依頼

誤送信を認識した後、直ぐに送信先の委託業者に当該データの削除を依頼し、削除済み

 (2) 誤送信した個人情報に係る本人等への通知

本人(高齢等の理由により理解が困難と思われる場合は、その家族を含む。)へは直接又は電話で第一報を令和6年7月16日(火)に通知したほか、書面にて概要等を通知(同月18日発送)

 (3) 国(個人情報保護委員会)へ令和6年7月17日(水)に報告

 (4) 職員への注意喚起を令和6年7月18日(木)に通知

 (5) 町及び病院のホームページで令和6年7月18日(木)に公表

5 二次被害又はそのおそれの有無及びその内容

委託業者に限った漏えいであるほか、データを誤送信した後、直ぐに当該委託業者に誤送信したデータの削除を依頼し、当該データが削除されたため、二次被害及びそのおそれはないものと考えています。

6 再発防止策

今後、入院セット利用申込書には、他の書類が混入しないように別ファイルで保管するほか、外部の者に個人情報を送信する場合は、その送信の直前に、送信するものの確認を徹底させます。

また、全ての職員に対し、個人情報の取扱いについて注意喚起を行うことにより、再発防止に努めます。

リリース文アーカイブ

Labels:
Location: 日本、〒930-0353 富山県中新川郡上市町法音寺51

【セキュリティ事件簿#2024-315】室蘭工業大学 ノートパソコンの盗難にかかる個人情報等の紛失について 2024/7/11

 

本学大学院工学研究科教員が、ベルギーへ出張中の令和6年6月30日に鞄の盗難被害に遭い、その中に同教員が所有していたノートパソコンが入っており、同教員が担当していた授業科目の成績データ、学生の個人情報等を記録したファイルが保存されていたことが判明しましたので、ご報告いたします。

盗難にあったノートパソコンには、パスワードがかかっており、現時点では、個人情報の漏えいによる被害は確認されていませんが、関係の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。

現在、ファイル内に記録されている個人情報等の調査を行っており、該当する方々には順次報告とお詫びのご連絡を予定しておりますが、このことによる被害と思われる事案が発生した場合には、以下担当までご連絡いただくようお願いいたします。なお、これまでのところ外部に個人情報が流失したという情報や第三者に情報が不正に使用されたという事実は確認されておりません。

今後におきましては、ノートパソコンの管理に関する注意のみならず、個人情報及び職務上守秘・保護すべき情報の管理にかかわる注意を本学の全構成員に改めて周知徹底し、再発防止に努める所存です。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-217】日本生命保険相互会社 当社の委託業者における個人情報の訪えいについて 2024/7/6

イセトー
 



この度、日本生命保険相互会社の業務委託先である株式会社イセトー (以下、「イセトー社」) より、ランサムウェアによる被害を受け、当社お客様の情報が漏えいしている旨の報告を受けました。

お客様をはじめとする関係者の皆様に、多大なるご迷惑とご心配をおかけしていますことを、深くお詫び申しあげます。

<漏えい対象の情報>

拠出型企業年金保険のご加入者 (1 団体・11 名) の名前、 生年月日、 性別、 加入内容等。

当該団体には、既にご連絡しています。

※その他、2024 年6月 6 日にイセトー社より「ランサムウェア被害の発生について (続報)」(https://www. iseto. co. jp/news/news_202406. html) にて個人情報の漏えい懸念が発表されており、この中には当社のお客様情報 (企業型確定拠出年金のご加入者情報) も含まれています。 対象となるお客様に個別にご連絡しており、また、現時点において漏えいの事実は確認されていません。

今後、イセトー社と連携を取りつつ事案の詳細について調査を進めるとともに、 新たに情報の漏えい等が確認された場合には、 該当のお客様に対し速やかにご連絡するなど、適切な対応を講じてまいります。 また、 当該調査結果等も踏まえ、 適切なお客様情報管理に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-314】アルプスアルパイン株式会社 当社の中国現地法人が管理するサーバへの不正アクセスについて 2024/7/16

 

概要

2024 年 7月 4日、当社の中国現地法人である Ningbo Alps Electronics Co., Ltd. (以下、「 Ningbo Alps 」といいます。)が管理している社内サーバの一部が第三者による不正アクセス(以下、「本件」といいます。)を受けたことを確認いたしました。

本件はランサムウェア攻撃であり、本件発生後、サーバ停止または隔離の対処をしたことにより、現時点において、 Ningbo Alps における生産、出荷等において影響は発生しておらず、 Ningbo Alps 以外での影響も確認されておりません。

現在、個人情報や顧客情報についての漏洩は確認されておりませんが、外部専門家の協力も得ながら影響範囲等の調査を継続して進めております。

今後、開示すべき事由が発生した場合には速やかに開示いたします。 

当社の情報セキュリティに対する運用

ISO27001 に準じた ISMS 標準を整備し、情報セキュリティの向上に取り組んでいます。

関連方針や施策の定着、改善を図るため、情報管理委員会においてマネジメントレビューを実施し、リスク評価及びリスク低減に向けた施策を展開、情報セキュリティ教育、情報資産の棚卸の実施と棚卸状況の確認、内部監査を行っています。

なお、近年高度化が著しいサイバー攻撃の脅威に対しては、情報システム部門に対する業務監査により当社の情報システムやセキュリティシステムの運用・保全・障害対応が適切になされ、情報の不正な改ざんを防止し、安定稼働が維持できる体制があることを確認しています。

また、CSIRT(Computer Security Incident Response Team)を設置し、情報セキュリティインシデントが発生した際の被害最小化を目指し、適切かつ速やかな処置ができる準備をしています。 

Labels:

【セキュリティ事件簿#2024-313】東京ガスエンジニアリングソリューションズ株式会社 不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ 2024/7/17


東京ガス株式会社(以下「東京ガス」)子会社の東京ガスエンジニアリングソリューションズ株式会社(以下「TGES」)のネットワークへの不正アクセスにより、TGES のサーバーおよび東京ガスの法人事業分野のサーバーに保管されているお客さま等に関する情報について流出の可能性があることが 2024 年 7 月 9 日に判明いたしました。

外部への情報流出の可能性について個人情報保護委員会へ報告し、警視庁や独立行政法人情報処理推進機構(IPA)をはじめとした外部の専門機関の協力も得て調査を進めておりますが、現在その痕跡は確認されておりません。また、現時点で情報が不正利用された事実も確認されておりません。

なお、不正アクセスを受けた TGES ネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスが出来ないよう対策を講じております。

このたびは、多くの方に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。今後、外部の専門機関の協力も得て原因究明を進めるとともに、厳重なセキュリティ体制の構築による再発防止に取り組んでまいります。

1.流出の可能性のある個人情報


対象 流出の可能性のある個人情報 個人情報数
これまで取引のある法人等に所属する方の個人情報 氏名、メールアドレス等の業務上の連絡先、個人名義の金融機関口座番号情報(85 件)、マイナンバー情報(5 件) 等 調査中
業務上必要な情報として業務委託元から提供を受けている一般消費者の方の個人情報 氏名、住所、連絡先 等 約 416 万人分
TGES の従業員等の個人情報 氏名、住所、金融機関口座番号情報(約 1,000 件)、クレジットカード情報(8 件) 等 約 3,000 人分

2.今後の対応

  • これまで取引のある法人等(東京ガスまたは TGES が提供する「法人用の都市ガス、電気、サービス」のお客さま等)については、今後調査を進め状況把握の上、適切に対応させていただきます。

  • 業務上必要な情報として業務委託元から提供を受けている一般消費者の方については、業務委託元とご相談の上、対応させていただきます。

  • 今後情報の流出や不正利用等が確認されましたら個別にご連絡させていただきます。

なお、本件に関してお問い合わせは、下記窓口までご連絡いただけますようお願い申し上げます。

Labels:

【セキュリティ事件簿#2024-312】広島県 県主催セミナー「人的資本経営推進セミナー」の事務局メールアカウントへの不正アクセスについて  2024/6/19

 

県が主催する「人的資本経営推進セミナー」の事務局が管理するメールアドレスのアカウントに対して外部から不正アクセスが行われ、同セミナーの事務局メールアドレス:「info@jinteki-hiroshima.jp」から大量に SPAM メールが配信される事案が発生いたしましたので、お知らせします。

なお、現時点においてセミナー申込者の個人情報については、漏洩がないことを確認しております。

1.経緯

令和6年6月 13 日(木)

6:04 

システムへの不正アクセスにより SPAM メールが配信

7:17 

サーバーが異常を検知し、サーバー機能によりメールアカウントのパスワードの強制変更

9:00 

事業委託先の株式会社三晃社広島支社が不正アクセスを確認

メールアカウントのパスワードの再設定

サーバー内の他の不正アクセス及び原因の調査を指示

9:10 

セミナー申込者情報を置くサーバーへの不正アクセスがないことを確認

令和6年6月 18 日(火)

原因調査を実施するも、原因不明これ以上の調査困難との報告

2.被害

・セミナー申込者の個人情報の漏洩はなし

・不特定多数の SPAM メールの配信(配信件数及び到達件数は不明)

3.対応

・メールアカウントのパスワードの強化(16 字から 20 字のランダム文字へ変更)

・セミナーの申込みページに SPAM メールへの注意喚起を掲載

4.原因

不正アクセスした者が、当該ドメインの管理を行う「パスワード」を解析し 16 文字のランダム文字列を偶発的に破り、侵入したことによるものと推測。

リリース文アーカイブ

Labels:
Location: 日本、広島県

【セキュリティ事件簿#2024-311】駒ヶ根市 申請フォームの設定ミスによる情報漏えい事案 2024/7/5

 

1 概要

駒ヶ根市の市制施行 70 周年記念式典の参加者(第 2 部と第 3 部)を Google フォームより募集しておりましたが、参加申込者が他の申込者の情報を閲覧できる状態になっておりました。

事案発覚後、直ちに申し込みフォームを閉鎖した上で、該当者にはお詫びと経緯説明のご連絡をしております。

現時点において、このことによる被害の発生は、確認できておりません。

2 閲覧できた可能性がある個人情報等

(1) 該当される方

 令和 6 年 7 月 3 日午後 0 時 25 分までに参加申し込みされた方(28 名)

(2) 閲覧可能期間

令和 6 年 6 月 12 日から令和 6 年 7 月 3 日午後 0 時 25 分頃

(3) 個人情報の内容

 お名前、ふりがな、電話番号、郵便番号、住所

3 原因

参加申込フォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態となっておりました。なお、現在は、申込フォームを閉鎖しています。

4 再発防止策等について

今後は、事務処理における複数チェックなど体制の強化を図るとともに、個人情報の適正な取り扱いを徹底します。

<具体的な内容>

・直ちに職員全員に注意喚起 ・個人情報の取り扱いに係る注意徹底、教育

・情報セキュリティ管理をしている電子申請サービスを使用することの徹底

・インターネット上で取り扱う個人情報のリスクに対する教育

・電子申請サービスの操作研修は、引き続き実施

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-310】有限会社東原商店 弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/7/16

このたび、弊社が運営する「オリーブ牛の肉のヒガシハラ(https://www.niku-higasihara.co.jp/)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,703名分を含む個人情報27,561名分が漏えいした可能性があることが判明いたしました。

クレジットカード情報については、一部特定できていないものも含まれております。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2024年3月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、当日内に「オリーブ牛の肉のヒガシハラ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年4月19日、調査機関による調査が完了し、2021年3月1日~2024年4月9日の期間に「オリーブ牛の肉のヒガシハラ」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。また、2011年2月1日~2024年4月9日の期間に登録された個人情報についても漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏えい状況

(1)原因

弊社が運営する「オリーブ牛の肉のヒガシハラ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月1日~2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」においてクレジットカード決済をされたお客様1,703名で、漏えいした可能性のある情報は以下のとおりです。

【クレジットカード情報】

  • クレジットカード名義人名
  • クレジット番号
  • 有効期限
  • セキュリティコード

【その他情報】

「オリーブ牛の肉のヒガシハラ」オンラインショップのログインパスワード

(3)個人情報漏えいの可能性があるお客様

2011年2月1日から2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」をご利用されたお客様27,561名で、漏えいした可能性のある情報は以下のとおりです。

  • 氏名
  • 住所
  • メールアドレス
  • 電話番号
  • 生年月日
  • FAX番号(任意)
  • 会社名(任意)
  • 性別(任意)
  • 職業(任意)

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4. 公表が遅れた経緯について

2024年3月11日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「オリーブ牛の肉のヒガシハラ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年3月11日に報告済みであり、また、所轄警察署にも2024年3月11日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)