【セキュリティ事件簿#2024-223】東京都教育委員会 都立高等学校における個人情報の漏えいについて 2024/7/5

 

令和6年5月31日に報道発表した、都立高等学校における個人情報の漏えいについては、関係の皆様に、多大な御迷惑をお掛けしましたことを、深くお詫び申し上げます。

その後、調査確認等を行った結果を取りまとめましたので、御報告いたします。

1 事故の概要

5月15日(水曜日)、都立学校の生徒から、Microsoft Teams(以下「Teams」という。)において、個人情報が閲覧できる状態にあることについて、東京都教育委員会(以下「教育委員会」という。)に連絡があり、調査したところ、以下のことが分かった。

(1) 氏名のみ又は写真のみが、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:11校(江北高校、晴海総合高校、東高校、芦花高校、新島高校、練馬工科高校、八王子東高校、南多摩中等教育学校、八王子西特別支援学校、多摩桜の丘学園、東久留米特別支援学校)

(2) 氏名に加え、「体育祭の種目」「生徒会役員」など、校内で周知されている情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:18校(葛飾野高校、白鷗高校・附属中学校、三田高校、墨田工科高校、神代高校、雪谷高校、駒場高校、北園高校、豊島高校、山崎高校、八王子北高校、清瀬高校、東久留米総合高校、小平南高校、多摩工科高校、城東特別支援学校、王子特別支援学校、八王子南特別支援学校)

(3) 氏名に加え、「生年月日」「電話番号」など、校内で周知されない情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:5校

なお、同生徒が同電子データを所持していないことを確認済みである。二次被害等の報告は受けていない。

2 事故の対応

1の(1)の11校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

1の(2)の18校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。また、必要に応じて生徒の個別面談や保護者への個別の説明を行った。

1の(3)の5校について、以下のとおりである。

(1) 都立三鷹中等教育学校

ア 漏えいした情報等

5月16日(木曜日)、校長は、教育委員会からの通知に基づき、Teamsの公開範囲の設定について注意喚起を行うとともに、全てのチームの公開範囲を確認し、「プライベート」にするよう教員に指示をした。同校教諭は、他の教員から、自ら作成したTeamsのチームが「パブリック」であることを指摘され、同チーム内にアップロードしていたデータを削除した。個人情報が閲覧できる状態にあることについて、教育委員会に連絡をした都立学校の生徒の閲覧記録があったファイルに、463名分(在校生160名、卒業生303名)の個人情報(氏名、委員会、通知表所見等)が、5月16日まで、他の都立学校においても閲覧できる状態となっていた。

イ 同校のファイルを閲覧したことが確認できている都立学校関係者への対応

閲覧記録がある都立学校の関係者に対して、同ファイルを所持していないことを確認済みである。二次被害等の報告は受けていない。

ウ 事故発生後の対応

6月26日(水曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、6月27日(木曜日)、卒業生にお詫び文を送付した。6月29日(土曜日)、臨時保護者会を実施し、内容の説明と謝罪を行った。

(2) 都立大泉高等学校・附属中学校

ア 漏えいした情報等

同高校の部活動の生徒12名の個人情報(氏名、性別、生年月日、記録等)、その12名を含む同高校・附属中学校の部活動の生徒31名の個人情報(氏名、出席番号)及び生徒803名分の個人情報(氏名、出席番号)が、5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月24日(月曜日)、同高校の部活動の同生徒に対し個人情報が漏えいした事実の説明と謝罪を行い、対象となる保護者に対し、お詫び文を送付すると共に、電話で説明と謝罪を行った。6月25日(火曜日)、同高校・附属中学校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(3) 都立武蔵村山高等学校

ア 漏えいした情報等

同校の部活動生徒8名の個人情報(氏名、性別、生年月日、年齢)が5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月25日(火曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。6月25日(火曜日)から28日(金曜日)にかけて、対象となる保護者に対し、家庭訪問等により内容の説明と謝罪を実施した。

(4) 都立五日市高等学校

ア 漏えいした情報等

同校の卒業生8名の個人情報(氏名、クラス、携帯電話番号)が、5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月24日(月曜日)、卒業生の保護者に対して、電話により内容の説明と謝罪を行った。6月26日(水曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(5)  都立中央ろう学校

ア 漏えいした情報等

同校の全生徒116名の個人情報(氏名、学年、クラス)、うち10名については個人の特性等の追加の個人情報が、5月15日(水曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月27日(木曜日)までに、追加の個人情報が含まれていた10名の生徒及び保護者に対し、個別に内容の説明と謝罪を行った。7月3日(水曜日)、臨時保護者会を開催して説明と謝罪を行うとともに、全生徒への説明と謝罪を行った。

3 事故の原因

(1) 教職員専用のアカウントで取り扱うべき生徒の個人情報を、教職員及び生徒共有のアカウントで取り扱ったこと。

(2) Teamsにおいて「プライベート」としなければならないチームの公開範囲を、「パブリック」としたこと。

4 再発防止について

(1) Teams事故再発防止委員会を設置し、実態に即した研修内容やチェックリストとなるよう都立学校の教職員の意見を踏まえて検討を行い、教員向けの周知資料や研修資料等を作成し、全教職員の理解を着実に進める。併せて、システムの設定変更等も含めた検討を行う。

(2) 職員会議や企画調整会議等の場を活用し、校内周知を徹底する。

リリース文アーカイブ

【2024年5月31日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 業務委託先への不正アクセスによる個人情報漏えいについて 2024/7/5


東海地区の一部信用金庫様から委託をうけ、株式会社東海信金ビジネスがダイレクトメールの印刷・発送を再委託している株式会社イセトー(以下「イセトー」)がランサムウェア被害を受け、お客様の個人情報が漏えいしたことが判明しました。

詳細については現在確認を進めておりますが、お客様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。 

1.事象の経緯

5 月 26 日 

イセトーのサーバやPCがランサムウェアに感染。イセトーは感染が疑われるサーバ、PC、ネットワークを切断し、調査を開始。

5 月 28 日 

現時点では、イセトーからランサムウェア感染の事実、およびデータの漏えいはない旨、報告を受ける。

6 月 18 日 

イセトーとセキュリティ会社が窃取されたと思われる情報のダウンロード URL の出現を確認。

6 月 26 日 

当社がイセトーから情報漏えいの可能性がある旨の第一報を受ける。

6 月 26 日~7 月 1 日

イセトーと当社で漏えいした個人情報の確認作業を進めた結果、対象のお客様を特定。

2.漏えいが確認された個人情報

 <データの種類と対象件数>
 ログデータ
・2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ上の氏名
 ・・・延べ 77,202 件
 
(注)この他に金融機関コードと支店コードも漏えいの可能性がありますが、ダイレクトメールの内容の漏えいはございません。

3.お客様へのお願い

不審な連絡等があった場合は、お取引店又は最寄りの警察署にご相談ください

4.今後の対応

現時点ではお客様の個人情報が不正に利用されたという報告は受けておりませんが、今後、新たな事実が判明した場合は、改めてご報告いたします。 

【セキュリティ事件簿#2024-313】福岡市水道局 福岡市委託先(東京ガスエンジニアリングソリューションズ株式会社)のネットワークへの不正アクセスについて 2024/7/19

 

東京ガスエンジニアリングソリューションズ株式会社(以下:TGES)から、外部からの不正アクセスがありサーバー内のデータが一時閲覧可能な状態となっていたとの報告がありました。

このサーバー内には全国の委託元から提供を受けた個人情報約416万人分が保管されており、この中に福岡市水道局が令和2年度にTGESへ業務委託した時のお客さまに関するデータ(約22万4千件)が含まれていることが判明しました。

TGESからは、不正アクセス確認後は速やかに接続遮断を行うなどの対策を講じており、現時点では情報流出の痕跡や情報の不正利用の事実は確認されていないとの報告を受けております。

なお、現在もTGESで調査が進められているところであり、改めて詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

お客様にご心配おかけしておりますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2024-313】静岡ガス株式会社 業務委託先への不正アクセスによる当社お客さま情報の外部流出の可能性についてのお詫びとお知らせ 2024/7/19

 

静岡ガス株式会社(代表取締役 社長執行役員 松本尚武)は、当社の都市ガス導管情報管理システムの運用を委託している東京ガスエンジニアリングソリューションズ株式会社(以下、TGES)から7月17日に報告を受け、TGESのネットワークへの不正なアクセスにより、当社のお客さま情報の一部が外部流出した可能性があると判明しましたので、お知らせいたします。なお、当社では7月19日に個人情報保護委員会へ報告いたします。

現在、TGESにおいて詳細を調査中ですが、現時点においては、個々のデータが不正利用された事実は確認されておりません。また、ネットワークへの外部からの経路を遮断し、さらなる不正アクセスが起きないよう対策が取られております。

このたびは、お客さまにご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。今後、事実が判明するまでの間、不審な電話、郵便物等にご留意されますようお願い申し上げます。追って、新たな事実が判明次第、当社ホームページにてご報告いたします。

【外部流出した可能性のあるお客さま】

対象

・2003年12月に沼津市・裾野市においてガスをご使用のお客さま

・2008年10月、2020年5月に静岡市駿河区八幡地区においてガスをご使用のお客さま

・2012年ごろにガスの引込管の工事を行ったお客さま

※その他対象者については調査中です。

内容

氏名、住所、電話番号、お客さまご使用先番号、ガス使用量(1ヵ月分)

※流出した可能性のある情報には、銀行口座情報、クレジットカード情報、支払い情報は含まれておりません。

件数

約43,000件

【今後の対応】

当社では今回の事態を重く受け止め、原因究明・再発防止に向けTGESと協議を進めてまいります。本件に関するお問い合わせは、下記の窓口にて対応させていただきます。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】妙高市 受託業者による個人情報の流出の可能性について 2024/7/19

 

1 概要

(1)発生の状況

妙高市上下水道局が水道解析システムの保守業務を委託している北陸ガスエンジニアリング株式会社(以下「受託業者」という。)の協力会社である、東京ガスエンジニアリングソリューションズ株式会社(以下「TGES」という。)のネットワークが外部からの不正アクセスを受けていたことが判明しました。

(2)経過等

7月17日(水)10時頃、受託業者から、協力会社であるTGESが外部からの不正アクセスにより、情報流出の可能性があるとの連絡がありました。

その後、当市水道のお客様に関する個人情報もその対象となっていることが判明しました。

なお、受託業者によれば、TGESでは7月17日(水)10時時点で情報流出の痕跡は確認されていないとのことであり、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとのことでした。

2 流出の可能性のある情報

流出の可能性のある情報は、当市水道ご利用のすべてのお客様約1万3千件(2021年度から2023年度までの3年分、延べ約4万件)の情報(使用者名、住所、用途区分、口径、使用量、料金で、毎年8月使用時点のもの)で、使用者名、住所等の個人情報が含まれていますが、金融機関や口座等の情報は含まれていません。

3 今後の対応

受託業者から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

万一情報の流出が確認された場合には、お客様への連絡等について受託業者と連携して速やかに進めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-323】日本損害保険協会 損保代理店試験申込システムのプログラム不具合 による受験者情報の漏えいに関するお詫び  2024/7/19

 

一般社団法人 日本損害保険協会では、損保代理店試験の申込システムにおいて受験者情報の漏えい事案が発生しましたので、事態の経緯と当協会の対応について下記のとおりご報告いたします。

受験者をはじめ関係者の皆さまには大変なご心配とご迷惑をおかけしておりますことを心よりお詫び申し上げます。

今後は、このような事態が発生しないよう再発防止に努めてまいります。

1.事案の概要

  • 2024 年6 月14 日(金)、損保代理店試験の申込システムにおいて受験申込を行った代理店が団体申込情報の確認を行おうと CSV ファイルをダウンロードした際に、当該代理店の受験者以外の情報が含まれていました。

  • 同様の事象が他に発生していないかを調査した結果、上記代理店以外への情報漏えいはありませんでした。

  • 同代理店において、当該情報が適切に削除されていること、および不正に利用していないことを確認しています。

2.漏えいした情報

  • 2024 年6 月14 日(金)時点で試験日2024 年8 月1 日(木)~8 月31 日(土)に損保一般試験(オンライン試験を含む)の受験申込をされていた方6,780 名の以下の項目。

<募集人ID、受験者姓名、団体名、性別、生年月日およびメールアドレス>

(注)クレジットカード等の情報は一切含まれておりません。

3.発生原因

  • 同システムの受験申込情報の検索において、複数ID でログインされた状態のまま特定の操作を行った場合に発生する、プログラムの不具合によるものです。

4.再発防止策(当面の対応)

  • 不具合のあったCSV ダウンロード機能は判明後速やかに停止しました。

  • 2024 年7 月9 日(火)に当該不具合の改修を行い、現在は正常に稼働しています。

5.対象者へのご連絡

  • 当協会として、受験者情報が漏えいした個人申込の方にはご本人様へ、団体申込の場合は団体申込窓口担当者様を通じてご連絡しています。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】北海道ガス株式会社 当社子会社の業務委託先のネットワークへの不正アクセスについて 2024/07/19

 

この度、北海道ガス株式会社(社長:川村 智郷、本社:札幌市)の子会社である北ガスサービス株式会社(社長:八木 渉、本社:札幌市)が業務を委託している東京ガスエンジニアリングソリューションズ株式会社(社長:小西 康弘、本社:東京都、以降:TGES)にて、第三者からネットワークへの不正アクセスを受けたことが判明いたしました。

TGESは、速やかに外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じております。また、TGESより現時点で当社のお客さま情報(※)が流出した痕跡はないとの報告を受けており、情報が不正利用された事実も確認されておりません。

お客さまにご心配をおかけしておりますことを深くお詫び申し上げます。 今後、新たな事実が判明した場合は、改めてご報告いたします。

※お客さま情報

 ・対象 : 北海道ガスのお客さま情報(札幌地区)

 ・項目 : お客さま番号、氏名、建物名、ガス使用量(1ヵ月分)等

       ※電話番号、メールアドレス、銀行口座情報、クレジットカード情報は含まれておりません。

 ・件数 : 約69万件

リリース文アーカイブ

【セキュリティ事件簿#2024-313】奈良市企業局 委託事業者による個人情報の流出の可能性について 2024/7/18

 

1.経緯    

7月17日(水)16時頃水道マッピングシステム(株)から、再委託先である東京ガスエンジニアリングソリューションズ(株)のネットワークに対し、不正アクセスによりサーバーに保管されている奈良市企業局で使用する水道管内の水圧・流量解析等に用いる各水栓における使用水量の情報が一時的に閲覧可能であったとの連絡があり、情報流出の可能性が判明しました。

2.対象の情報 

(1)データの種類 各水栓における使用水量情報

(2)件 数    2,263件

(3)データ項目  水栓番号、使用水量

          使用者名(主に使用量が多い使用者のみ)

(4)年 度    平成21年度(検針月は不明)

※現在この解析業務については企業局直営で実施していることから、データの受け渡しは行っていませんが、平成21年度当時は解析業務を実施した初期段階であったことから、システムの稼働確認等を行うためデータを委託先に渡したものであります。

3.現在の状況  

外部への情報流出の可能性について、東京ガスエンジニアリングソリューションズ(株)は、個人情報保護委員会へ報告し、警視庁や独立行政法人情報処理推進機構(IPA)をはじめとした外部の専門機関の協力も得て調査を進めており、現在その痕跡は確認されていないと報告を受けております。

なお、不正アクセスを受けた東京ガスエンジニアリングソリューションズ(株)のネットワークは、不正アクセス確認後速やかに接続遮断を行い、外部からはアクセス出来ないよう対策を行ったとの報告を受けています。

4.今後の対応  

情報が流出した可能性のあるお客様への連絡等については、水道マッピングシステム(株)と連携して速やかに進めてまいります。

水道マッピングシステム(株)から今回の一連の経緯について詳細な報告を受けるとともに、開発終了時に適切にデータが消去されなかった原因究明を求めていきます。その上で、再発防止に向けた必要な対策を検討していきます。

リリース文アーカイブ