県ホームページ上で公開した「令和5年度不登校児童生徒に対する経済的支援事業における実施報告書」を15名分の個人情報(住所、氏名、口座番号)が含まれた状態で公開してしまったため、不特定多数の者が閲覧可能な状態となっていた。
令和6(2024)年8月1日(木曜日)21時、県ホームページに令和5年度不登校児童生徒に対する経済的支援事業実施報告書に、個人情報が含まれていることに気付かず掲載。
令和6(2024)年8月2日(金曜日)10時30分、関係機関より連絡を受け、誤掲載の事実が判明した。同日、11時00分、当該個人情報を削除した。
現時点(8月2日18時00分)では確認されていない。
県ホームページへの掲載前に、掲載内容を十分に確認しなかったことによる。
電話等にて、謝罪を行う。
ホームページへの資料等を掲載する際には、複数の職員により事前に確認を行うなど、チェック体制を強化する。
この度、弊社元従業員が退職、同業他社へ転職するにあたり、不動産登記簿に記載された情報をデータ化した社内資料を、不正に持ち出し、その一部をダイレクトメールの送付に使用した事案が発生したことが判明いたしました。
今回、当該資料内に情報が含まれておりました皆様には深くお詫び申し上げますとともに、下記の通り、詳細をご報告させていただきます。
弊社では、個人情報をお預かりする企業として、従業員の教育及び個人情報の安全管理に努め、また、退職にあたり機密保持に関する誓約書を提出させておりましたが、今般このような事態を招いたことを重く受け止め、これまで以上に社内教育並びに管理体制の強化に努め、再発防止に取り組んでまいります。
東京都港区所在の一部マンションの不動産登記簿に記載されているご所有者様の ①氏名②住所 ③ご所有のマンション名、部屋番号および所在地の情報(計 25,406 人) をリスト化したデータ(以下、「本件データ」といいます)。
・元従業員所有のパソコンについて調査を実施し、本件データの削除を確認
・調査により、ダイレクトメールの送付以外に利用された事実がないことを確認
・情報解析の専門会社の調査により、外部への情報流出の履歴がないことを確認
・国土交通省(個人情報保護委員会の届出窓口)への報告、届出
・刑事告訴を視野に入れた管轄警察署への相談
個別に書面にてご連絡をさせていただいております。
ダイレクトメール発送以外に利用された事実がないことを確認しております。
また、本件データは元従業員により削除されていることを確認し、専門会社によりキャッシュデータも完全に消去しました。調査により外部への流出履歴は確認されなかったため、今後の二次被害のおそれはないものと考えております。
・個人情報の取り扱いについて、全従業員(退職予定者を含む)への再教育を実施
・社内ルールの徹底に向けた定期的な社員教育の再実施
・従業員のシステム利用時の非通常動作の検知システム(導入済)の監視強化
・従業員の外部へのデータ送信時の監視強化
・社内業務管理システムへのアクセス制限の見直し
このたび、サーバが不正アクセスを受けたことにより、サーバに保管されていた個人情報が漏えいしたおそれがあることが判明いたしました。関係者の皆さまには、多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
2024年 5月、当社においてシステム障害が発生し、外部専門会社によるフォレンジック調査を実施した結果、複数のサーバが第三者による不正アクセスを受けていたことが判明いたしました。調査の結果、情報漏えいの痕跡は確認されませんでしたが、個人情報漏えいの可能性を完全に否定することができないため、個人情報保護法に基づき、対象となる方々へ通知させていただくことといたしました。
当社の社員:102名
(2012年 6月以降当社と雇用関係にあった退職者含む)
・個人情報の項目:氏名、生年月日、住所、電話番号、銀行口座情報、社用メールアドレス、健康保険番号、基礎年金番号、企業年金基金番号、雇用保険番号
※社員によって個人情報の項目の数が異なります。
調査の結果、第三者が外部(インターネット)と接続しているファイアウォールからリモートデスクトップ(RDP)接続によってサーバに侵入し、ランサムウェアを実行したことが確認されました。攻撃者が不正アクセスを試みたサーバには、当社の人事システムおよび給与システムが含まれており、社員(退職者を含む)の個人情報が登録されております。外部へのアップロード記録、ファイル・フォルダの操作痕跡、不審な圧縮ファイルの作成痕跡などを調査したところ、攻撃者が情報を持ち出したと考えられる明らかな痕跡は確認されませんでした。
現在のところ、外部への情報漏えいや、対象者の皆さまに影響を及ぼすような二次被害などは確認されておりません。また、ネット上のリークサイト等におきましても当社に関する情報は確認されておりません。
万が一、個人情報が漏えいしていた場合は、不審な電話やメールなどが入る可能性がございますので、ご注意いただきますようお願い申し上げます。
2024年 8月 2日現在、当社に在籍している社員につきましては、社内サイトまたはメールにて通知させていただきます。また、既に退職されている方々は、個別に郵送にて通知させていただきます。
なお、住所の変更等により、ご本人への通知が困難な一部の方々に対しましては、ホームページによる本件の公表をご本人への通知の代替措置とさせていただきます。
このたびの不正アクセスを受け、当社におきましては、ファイアウォールポリシーの見直し、サーバおよびパソコンの監視強化、EDRおよびSOCの導入等のセキュリティ対策を実施いたしました。
今般の事態を真摯に受け止め、さらなるセキュリティの強化に努めてまいります。
このたび、当社の「ご来店予約システム」に関するサーバーが外部から不正アクセス攻撃を受けました。
現時点で判明している事実等につきまして、以下の通りお知らせいたします。
① 不正アクセス
7 月 25 日木曜夕刻に不正アクセスが開始されたことを同日に検知、アクセス停止・遮断を即日実行しました。その後、攻撃されたサーバーの接続制御と、セキュリティーレベルの強化を改めて実施しました。
② 対象となるお客様とご予約の期間
2024 年 7 月 24 日~7 月 25 日を来店対象日として、ご来店予約を実施されたお客様。
(市川菅野店のみ、上記のお客様に加え、2023 年のいずれかの日を来店対象日としてご来店予約
を実施されたお客様)
③ 警察への相談及び個人情報保護委員会への必要な報告を行いました。
➀ お客様(予約者)がご予約時に登録された名前(452 件)
➁ @の手前 3 文字をマスキングしたお客様(予約者)のメールアドレス(231 件)
➂ お客様(予約者)の電話番号(161 件)
※ご来店予約の際、住所・クレジットカード番号を受領した事実はございません。
また、住所・クレジットカード番号の流出はなかったことを確認済です。
不正アクセス
流出した情報を利用した不審な電話・SMS・メールの発生は現時点で確認されておりません。
今後第三者による悪用の可能性を 100%排除できないため、不審な電話・SMS・メールを受け取られた
場合は、慎重にご対応くださいますようお願い申し上げます。
お客様並びに関係者の皆様には多大なご心配をおかけすることとなり、心からお詫び申し上げます。
令和 6 年 5 月 28 日に当協会のメールシステムが外部からの不正アクセスを受けたことについて公表しておりましたが、調査の結果、情報流出の可能性があることが 7 月 22日に判明しました。
当協会の内部調査の結果、情報が流出した可能性がある 46 先(うち顧客情報を含む先 1 先)全てに対し直ちに訪問、電話等により直接連絡を取り、事情説明と被害有無の確認を行ったところ、皆様に事情をご理解いただくとともに、被害が発生していないことを確認しました。
不正アクセスの事象につきましては、調査の結果、当協会のメールアカウントのパスワードを取得した第三者が、当協会ではないメールアドレスから大量のメールを送信していたもので、当協会及びベンダでは、不正アクセスが発覚した 5 月 25 日に当該アカウントのパスワードを変更しております。
その後、不正アクセスは確認されておらず、また、現在までのところ、本件に係る照会、連絡はありませんが、今後も本件の関係が疑われるメールを受信等された場合は、ご連絡くださいますようお願いいたします。
当協会といたしましては、引き続き再発防止に向けた対策、体制強化に取り組んでまいります。
【2024年5月28日リリース分】
当社サーバーへの不正アクセスに関しましては、お客さまはじめ関係各位にご心配をおかけしましたことを深くお詫び申しあげます。
2024年6月10日と同月21日の開示資料にて逐次情報をお知らせしてまいりましたが、その後の当社の状況とサイバーセキュリティの専門会社による調査結果につき、以下の通りお知らせいたします。
現時点で、本件に関わる情報流出は確認されておりません。また、調査の結果、漏洩可能性のある情報にお客さまに関わる情報は含まれないことを確認しております。加えて、既報のとおり、当社の生産活動は今回の不正アクセスによる影響を受けておらず、出荷業務を含め通常通りの業務をおこなっております。
今回の調査結果によれば、不正アクセスは、攻撃者が当社グループ内の VPN 機能の脆弱性を悪用して当社システムに不正侵入し、当社サーバーのファイル暗号化等をおこなったものです。当社は、不正アクセスの判明直後に社内サーバーをネットワークから遮断、不審ファイルの有無を確認するとともにすべてのサーバー、パソコンに対して最新ウイルス対策ソフトによるフルスキャンを実施するなど必要な対策をおこないました。また、サ-バーやパソコンに対して EDR を導入し、不正な挙動等の監視を開始いたしました。
現在、社内サーバー、ネットワーク、システムは概ね復旧済みですが、不正アクセスへの対策強化の観点から、情報システムに関する監視体制や認証方法の強化も含めたサイバーセキュリティの強化について、当社グループ全体で取り組んでまいります。
本件により、関係者の皆さま、お客さまはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを、改めて深くお詫び申しあげます。
【2024年6月10リリース分】
令和6年8月8日(木曜日)、元北部小学校県臨時的任用講師(28歳)が、不正アクセス行為の禁止等に関する法律違反の容疑で逮捕されましたので、お知らせします。
現在、事実関係の把握に努めているところですが、当該小学校に通う児童、保護者をはじめ、市民の皆様の信頼を著しく失墜させる事態になっておりますことは、誠に遺憾であり、深くお詫び申し上げます。
当該元講師は、令和6年6月3日に退職したが、退職後に浦安市学校教育支援システムに不正にアクセスしたもの。
システム運用基準を遵守し、厳重なセキュリティ体制の構築による再発防止などに努めてまいります。
新潟市は9日、人事課が管理するネットワークハードディスクに不正アクセスし、部外秘の人事異動情報を閲覧・収集していたとして、40代男性職員を停職3カ月の懲戒処分にしたと発表しました。
8月9日付で停職3カ月の懲戒処分となったのは、総務部に所属する係長級の40代男性職員です。
男性職員は2020年10月から2023年11月までの間、業務上の必要性がないにも関わらず、1400を超えるファイルを個人が使用する業務用パソコンにコピーし、部外秘の人事異動情報を閲覧・収集していました。
新潟市によりますと、ネットワークハードディスクは、定期的にパスワードを変更するなどセキュリティ上の対策を講じていたものの、男性職員は業務上与えられていた権限を悪用してパスワードを取得したうえで、不正にアクセスしていて、警察が不正アクセス行為の禁止等に関する法律違反の疑いで新潟地検に書類送検。その後、男性職員に罰金20万円の略式命令が出ていたということです。
市の調査に対して、男性職員は「自己の興味や好奇心を満たす目的だった」と話していて、行為発覚後は、ネットワークにつながっているパソコンを使わない業務をしていたということです。
職員の処分に対し、中原八一市長は「法令を遵守し、公正に業務を遂行することが求められる公務員の立場にありながら、部外秘の人事異動情報を聞覧・収集するといった不正アクセス事案を起こしたことは誠に遺憾であります。今回の事態を重く受け止め、今後はこのようなことが起こらぬよう、改めて全職員に情報セキュリティポリシーの遵守や個人情報の適切な取り扱いを徹底するよう指示したところであり、再発防止に取り組み、市民の皆様の信頼回復に努めてまいります」とコメントしています。
出典:「興味本位で…」不正アクセスして部外秘の“人事異動”情報を閲覧…40代の係長級職員に停職3カ月の処分(アーカイブ)