【セキュリティ事件簿#2024-313】横浜市 委託事業者による個人情報の漏えいの可能性について 2024/7/18

 

東京ガスエンジニアリングソリューションズ株式会社(東京都港区。以下、「TGES」。)のネットワークが外部から不正アクセスを受けたことに伴い、横浜市水道局がマッピングシステム(※)の開発業務委託時に同社に提供し、本来消去されているべき個人情報を含むデータが、同社サーバー内に残っていたことにより、情報が外部から閲覧可能な状態になっていたことが判明しました。

※水道管路等の情報を一元管理するシステム、開発期間は平成 30 年 10 月から令和2年5月まで

1 判明した経緯

7月 16 日(火曜日)16 時頃、TGESから、同社のネットワークが外部からの不正アクセスを受け、システム開発時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。

なお、TGESによれば、7月 17 日時点で情報流出の痕跡は確認されていないとのことであり、また、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとの報告を受けています。

2 漏えいした可能性のある個人情報

 平成 30 年度時点で設置されていた、約 14,000 件の受水槽の申請に係る、申請者の住所・氏名・電話番号・受水槽の設置場所

3 今後の対応

情報が流出した可能性のあるお客様への連絡等については、TGESと連携して速やかに進めてまいります。

また、TGESから今回の一連の経緯について詳細な報告を受けるとともに、開発終了時に適切にデータが消去されなかった原因究明を求めていきます。

その上で、再発防止に向けた必要な対策を検討していきます。

4 その他

7月 17 日に、TGESが本件を含む情報流出の可能性に関するプレスリリースを行っております。

リリース文アーカイブ

【セキュリティ事件簿#2024-319】吉田町立図書館 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2024/7/17

 

7月14日(日)、本町の「ちいさな理科館」のインターネットパソコンに不正なアクセスがあり、理科館の利用者の個人情報が流出した可能性があります。現時点において被害は確認されていませんが、皆様にご心配をお掛けしますこと、深くお詫び申し上げます。

【概要】

同日、ちいさな理科館の職員がインターネットに接続したパソコンを操作していたところ、偽の警告画面が表示され、電話で連絡を取り、指示に従って操作を進めたところ、遠隔操作が始まったことから、職員が不審に感じ、電話とパソコンを強制終了しました。

現在、詳細を調査中で実際に個人情報が流出したかどうかは不明です。

今回は、いわゆる「サポート詐欺」に該当すると思われますが、対応を途中で遮断しており、金銭的被害は現在のところ発生しておりません。

【流出した可能性がある個人情報】

・「ちいさな理科館」の講座申込者約450人の住所、氏名、電話番号、メールアドレス、学校名、学年、保護者名(2021年度、2022年度)

・メールの送受信記録、約1300件(2020年8月から2024年7月まで)

【今後の対応】

専門業者に依頼し、個人情報の流出の有無について確認を進めます。

【セキュリティ事件簿#2024-313】神奈川県 委託事業者による個人情報の流出の可能性について 2024/7/17

 

神奈川県営水道(企業庁)の業務委託先のネットワークが外部から不正アクセスを受け、県営水道をご利用の一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

1 概要

(1)発生の状況

県営水道の配水管やお客様の引込管等の情報を一元管理するシステム(管路情報システム)の運用業務を委託している、東京ガスエンジニアリングソリューションズ株式会社(東京都港区。以下、「T社」。)のネットワークが不正アクセスを受け、県営水道のお客様に関する情報が外部から閲覧可能な状態になっていました。

(2)判明した経緯等

7月16日(火曜日)16時頃、T社から、外部からの不正アクセスを受け県営水道のお客様に関する情報が閲覧可能な状況にあったとの連絡があり、個人情報の流出の可能性が判明しました。

なお、T社によれば、7月17日16時時点で情報流出の痕跡は確認されていないとのことであり、また、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとのことです。

2 流出した可能性のある個人情報

県営水道ご利用の一部のお客様約3万7千件の情報(使用者名、住所、水栓番号、年間の使用水量)(7月17日時点)

3 今後の対応

情報が流出した可能性のあるお客様への連絡等については、T社と連携して速やかに進めます。

T社から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

4 その他 

本日、T社が本件を含む情報流出の可能性に関するプレスリリースを行っております。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】金沢エナジー株式会社 当社のシステム保守業務委託先への不正アクセスについて  2024/7/17


この度、金沢エナジー株式会社で使用しているマッピングシステム(※1)の保守業務の委託先である東京ガスエンジニアリングソリューションズ株式会社(https://www.tokyogas-es.co.jp/)が第三者からの不正アクセスを受けたことが判明いたしました。同社は、不正アクセス確認後、外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じております。

お客さま情報(※2)の流出の可能性については、現在その痕跡は確認されておりません。

また、現時点で情報が不正利用された事実も確認されておりません。

お客さまにご心配をおかけしておりますことを深くお詫び申し上げます。

今後、新たな事実が判明した場合は、改めて報告いたします。

※1 マッピングシステム

電子地図上でコンピューター上の地図情報の上にガス管やガス付属設備(バルブ・整圧器等)の情報を重ね合わせて登録し情報を一元管理するシステム。

緊急保安や検針等の各種業務機会において、道路上・各需要家さまのガス管の管種・口径・位置等の確認やガス導管設計に使用しています。

※2 流出の可能性のある個人情報

お客さま番号、お客さま名、住所等

なお、電話番号、ガス料金、金融機関口座情報は含まれておりません。

リリース文アーカイブ

【セキュリティ事件簿#2024-318】滋賀労働局 委託事業受託者による個人情報漏えい事案について 2024/7/17

 

滋賀労働局(局長 多和田 治彦)は、委託事業受託者である一般社団法人滋賀県病院協会において発生した個人情報の漏えい事案について、以下のとおり当該事実を確認の上、必要な措置を講じましたので、概要をお知らせします。

1 事案の概要

滋賀労働局及び滋賀県は、一般社団法人滋賀県病院協会(以下、「病院協会」という。)に対し、「令和6年度 医療労務管理支援事業」を委託しており、病院協会は「滋賀県医療勤務環境改善支援センター」(以下、「勤改センター」という。)として事業を行っている。

令和6年4月 11 日、勤改センター職員が、業務用端末の操作中にサポート詐欺に遭い、Outlook メールファイルが消去された。ウイルス感染は確認されなかったが、メールファイルデータが消去され、端末が一時的にリモート操作されていた可能性がある。

同データ内の勤改センター関係のデータには、勤改センターがアドバイザーとして委託契約する社会保険労務士6名の氏名及びメールアドレス(うち3名は加えて金融機関口座番号及び印影)の個人情報が含まれており、これら個人情報漏えいのおそれがある事案が発生したもの。

2 事実経過

(1)令和6年4月 11 日

勤改センター職員Aが、休憩時間中に業務用端末から Web ページを閲覧中、警告音とともに Microsoft 社へ電話するよう警告画面が表示された。

職員Aが表示された電話番号に架電し、外国人らしき人物から指示された URL へ誘導されアクセスした。続いて、コンビニエンスストアでプリペイドカードを購入するよう指示されたため、不審に思い、勤改センター職員 B に伝えたところ、職員 B は当該端末の電源を落とし、職員Aは切電した。

その後、職員Bから当該端末のリース会社に連絡。リース会社はリモートで当該端末のチェックを実施。その結果、リース会社は端末を引き取り確認することとなった。

(2)令和6年4月 12 日

リース会社に端末を引き渡した。その際、端末内データを USBに保存。

(3)令和6年4月 19 日

リース会社より初期化後の端末納品。USB 内データを端末に戻した。リース会社によると、

・端末及び USB データにウイルス感染はない。
・Outlook メールファイルについては復元できなかった。
・データが流出したかどうかの判断はできない。

とのことであった。

(4)令和6年5月9日

勤改センター職員 C から滋賀労働局雇用環境・均等室に対し、「勤改センター業務でリース契約している業務用端末の、初期化費用の委託費計上について確認したい。」との問い合わせがあり、初期化を行った理由を確認したところ、ウイルス感染の可能性が判明した。

(5)令和6年5月 14 日

情報セキュリティインシデント事案の可能性があることから、雇用環境・均等室長、同室監理官が勤改センターに赴き、職員A及びリース会社担当者から事情聴取し、上記(1)~(3)の経過を確認した。同日、雇用環境・均等室長から職員 A に対し、今後、私用での業務用端末使用の禁止及び不審サイト・メールが表示・受信された場合は、直ちに通信遮断するよう指示を行った。

(6)令和6年6月3日

職員 A より、個人情報に金融機関口座番号及び印影が含まれていた3名のアドバイザーに対し架電のうえ謝罪訪問について打診するも、「被害もないので訪問不要」とのことであったため、当該事案の概要を説明のうえ、自身の不注意により個人情報漏えいのおそれがあることを伝え謝罪した。

(7)令和6年6月 10 日

滋賀労働局雇用環境・均等室長がアドバイザーあて架電。経緯を説明のうえ謝罪を行った(うち1名は6月 13 日に来局し、その際に説明及び謝罪)。

(8)令和6年6月 12 日

病院協会において開催された勤改センター月例会議において、病院協会事務局長が本件概要及び原因・再発防止策について説明のうえ謝罪した。

(9)令和6年7月2日

職員 A より、(7)以外の3名のアドバイザーに対し架電のうえ謝罪訪問の申し入れを行うも、特に迷惑を被っておらず訪問不要とのことであったため、電話による謝罪とともに再発防止策を伝えた。

4 発生原因

(1)直接の原因は勤改センター職員の情報セキュリティ、個人情報保護に関する認識、知
識の低さを要因とした以下の情報セキュリティに対する危険行動。
・私用での業務端末の使用
・警告画面表示後の通信の遮断をしなかった
・不審画面に誘導されるまま、不審サイト(URL 入力)へアクセスした

(2)間接原因として、受託事業者である病院協会における情報セキュリティ、個人情報保
護に関する教育、周知不足。

5 再発防止策

【勤改センターにおける取組】

●実施済の措置

(1)令和6年4月 19 日、22 日、病院協会において、以下の情報セキュリティ対策としての基本行動等を勤改センター担当職員に対し周知、徹底したほか、悪意のあるメール等
の手口の共有と注意喚起を行った。

・私用での業務用端末の使用禁止
・個人情報が記載されたデータのメール送信時には必ずファイルにパスワードを設定すること
・業務で使用するインターネットサイトを限定し、専用フォルダ内に当該サイトの URLを集約し、インターネットのアクセスは当該フォルダからのみ行うこと

(2)令和6年5月 16 日、病院協会内の職員間のデータのやり取りはクラウド上の「Shareフォルダ」で行い、その後、限られた職員(2名)が管理するパスワードを設定した専用フォルダにデータを保存し、「Share フォルダ」内の同データファイル及び電子メー
ルデータは削除することとした。

●今後実施予定の措置

(1)情報セキュリティ対策の包括的規定として情報セキュリティハンドブックを策定し、
職員に周知徹底する。(7月中旬)

(2)勤改センター職員の情報セキュリティ対策の意識を向上させるため、滋賀県警主催のサポート詐欺防止講習を受講させ、今後毎年、複数回の情報セキュリティ研修を受講させる。(8月1日)

(3)毎年、複数回のセキュリティチェックを実施する。

(4)万が一、悪意のあるメールの受信、サイトへのアクセスなどに備え、抜線による通信遮断が行えるよう、滋賀県病院協会内の業務用端末の通信方法を無線から有線へ変更予定。(7月中)

【滋賀労働局における取組】

●実施済の措置

(1)令和6年5月 14 日、雇用環境・均等室長から職員 A に対し、今後、私用での PC 端末の使用の禁止と不審サイト・メールが表示・受信された際は、直ちに通信遮断することを指示。

●今後実施予定の措置

(1)今後、上記研修の受講状況を直接、勤改センター職員に確認するほか、毎年受託事業
が実施する上記研修のうち少なくとも1回は当局雇用環境・均等室職員が情報セキュ
リティ研修と個人情報漏えい防止に関する研修を実施する。

【セキュリティ事件簿#2024-313】京葉ガス株式会社 業務委託先における不正アクセスによる情報流出の可能性についてのお詫びとお知らせ 2024/7/18

東京ガスエンジニアリングソリューションズ
 

京葉ガス株式会社(以下「弊社」) が一部業務を委託している東京ガスエンジニアリングソリューションズ株式会社(以下「委託先」) で、  ネットワークへの不正アクセスにより弊社のお客さま情報の一部に漏えいのおそれがあることが、委託先からの報告により判明いたしました。

お客さまに大変なご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。

弊社は外部への情報流出の可能性について個人情報保護委員会へ報告しておりますが、委託先から、現時点で情報が不正利用された事実がないことを確認しております。

なお、委託先では、不正アクセスを受けたネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じております。

<流出した可能性のある個人情報>

対象流出の可能性のある個人情報情報数
委託先等が提供するサービスを利用する法人等に所属する方の個人情報氏名、メールアドレス等の業務上の連絡先調査中
委託先へ提供している弊社のお客さま情報氏名、建物情報、ガス使用量等約81万件

<今後の対応>

委託先と協議のうえ、弊社お客さまへの対応を進めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-316】かみいち総合病院 個人情報の漏えいについて 2024/7/18

 

この度、当院において下記のとおり個人情報の漏えいがありました。

患者様の大切な情報をお預かりしています病院として、患者様及びその御家族様に御心配と御迷惑をおかけしましたことを深くお詫び申し上げます。

今後、同様の事案が発生しないよう、職員に対し、個人情報の適切な取扱いについて改めて周知徹底し、再発防止に努めてまいります。

1 概要

当院の職員が委託業者に業務上必要なデータを送信する際に、送信する必要のない個人情報データを誤って送信したもの

2 発生状況等

 (1) 発生日・発覚日 令和6年7月10日(水)

 (2) 誤送信した個人情報の内容

ア 入院患者(4人)の氏名及び年齢並びに病名及び診療状況

イ 退院患者(1人)の氏名及び年齢

 (3) 発生状況

ア 入院患者様から申込みがあった入院セット(※)利用申込書を委託業者に送信するため、職員が当該申込書をスキャナで一括して自動読取りし送信

イ 全てを読取り送信した直後に、当該申込書と関係のない書類(病棟管理日誌(1枚))を一緒に送信してしまったことに気づく。

※入院生活に必要な衣類、タオル、紙おむつ等の日常生活用品のレンタルサービス

3 発生原因

送信する前に送信する書類の確認がされていませんでした。

4 発生後に行った対応

 (1) 誤送信したデータの削除依頼

誤送信を認識した後、直ぐに送信先の委託業者に当該データの削除を依頼し、削除済み

 (2) 誤送信した個人情報に係る本人等への通知

本人(高齢等の理由により理解が困難と思われる場合は、その家族を含む。)へは直接又は電話で第一報を令和6年7月16日(火)に通知したほか、書面にて概要等を通知(同月18日発送)

 (3) 国(個人情報保護委員会)へ令和6年7月17日(水)に報告

 (4) 職員への注意喚起を令和6年7月18日(木)に通知

 (5) 町及び病院のホームページで令和6年7月18日(木)に公表

5 二次被害又はそのおそれの有無及びその内容

委託業者に限った漏えいであるほか、データを誤送信した後、直ぐに当該委託業者に誤送信したデータの削除を依頼し、当該データが削除されたため、二次被害及びそのおそれはないものと考えています。

6 再発防止策

今後、入院セット利用申込書には、他の書類が混入しないように別ファイルで保管するほか、外部の者に個人情報を送信する場合は、その送信の直前に、送信するものの確認を徹底させます。

また、全ての職員に対し、個人情報の取扱いについて注意喚起を行うことにより、再発防止に努めます。

リリース文アーカイブ

【セキュリティ事件簿#2024-315】室蘭工業大学 ノートパソコンの盗難にかかる個人情報等の紛失について 2024/7/11

 

本学大学院工学研究科教員が、ベルギーへ出張中の令和6年6月30日に鞄の盗難被害に遭い、その中に同教員が所有していたノートパソコンが入っており、同教員が担当していた授業科目の成績データ、学生の個人情報等を記録したファイルが保存されていたことが判明しましたので、ご報告いたします。

盗難にあったノートパソコンには、パスワードがかかっており、現時点では、個人情報の漏えいによる被害は確認されていませんが、関係の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。

現在、ファイル内に記録されている個人情報等の調査を行っており、該当する方々には順次報告とお詫びのご連絡を予定しておりますが、このことによる被害と思われる事案が発生した場合には、以下担当までご連絡いただくようお願いいたします。なお、これまでのところ外部に個人情報が流失したという情報や第三者に情報が不正に使用されたという事実は確認されておりません。

今後におきましては、ノートパソコンの管理に関する注意のみならず、個人情報及び職務上守秘・保護すべき情報の管理にかかわる注意を本学の全構成員に改めて周知徹底し、再発防止に努める所存です。

リリース文アーカイブ