【セキュリティ事件簿#2024-399】三陽物産株式会社 不正アクセスによる個人情報流出の可能性のお知らせ 2024/9/6

 

当社は、悪意ある第三者による社内サーバーへの不正アクセスを受け、調査を進めてきましたが、お客様・お取引先様・従業員等に関する個人情報流出の可能性が否定できないことが判明したため、法律の専門家および外部専門機関等と協議の結果、個人情報保護法等の法令に基づき、皆さまにお知らせすることといたしました。

現時点では本件に関わる個人情報の不正利用の事実は確認されておりません。

〈発生の経緯〉

8月27日早朝、社内システムへのアクセスができないことが判明し、調査を開始したところ、複数のサーバーでデータが不正に暗号化されていることが確認されました。被害の拡大を防ぐために、不正アクセスを受けた可能性のある全てのサーバーへのアクセスを遮断し、当社内機器に対してウィルススキャンを実施、安全性を確認しております。

今後については、復旧作業を進めると同時に、原因及び被害状況の調査を進めてまいります。なお、8月28日に警察当局への届け出、8月31日に個人情報保護委員会への報告は完了しております。

この度は、お客様ならびに関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-398】ヤマトホールディングス株式会社 海外子会社サーバーへの不正アクセスの発生について 2024/9/12

 

ヤマトホールディングス株式会社(本社:東京都中央区、代表取締役社長:長尾裕、以下「ヤマトHD」)は、シンガポールヤマト運輸株式会社(本社:シンガポール共和国、代表取締役社長:梨本祐児、以下「YTS」)が、9月4日(水)に、同社のサーバーが第三者による不正アクセスを受けたことを確認しましたので、お知らせいたします。

YTSでは、不正アクセスの確認後、速やかに外部からのアクセスを制限するなど必要な対策を講じるとともに、関係当局への報告を行っています。

また、現在、セキュリティ専門機関の協力を得て、原因および影響範囲の調査を進めるとともに、情報セキュリティの強化および再発防止策の検討を進めています。

なお、今回の不正アクセスはYTSのサーバーにとどまり、ヤマトHDを含む他のヤマトグループのサーバーやネットワークへの影響がないことを確認しています。

関係する皆さまに多大なるご迷惑とご心配をおかけしていることを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-416】個人情報保護委員会 株式会社 NTT マーケティングアクト ProCX 等における 不正持ち出し事案に対する個人情報の保護に関する法律 に基づく行政上の対応について 2024/9/11

 

個人情報保護委員会は、本日、株式会社 NTT マーケティングアクト ProCX 等における不正持ち出し事案に対する個人情報の保護に関する法律(平成 15 年法律第 57号)に基づく行政上の対応について、以下資料のとおり、取りまとめましたので、お知らせいたします。

第1 事案の概要

1 株式会社 NTT マーケティングアクト ProCX(西日本電信電話株式会社(以下「NTT 西日本」という。)が 100%出資する子会社。以下「ProCX 社」という。)は、多数の民間事業者及び地方公共団体等から委託を受け、商品販売等や健康診断等の行政上の通知に係るコールセンター業務(以下「コールセンター業務」という。)を行っている。

2 本件は、平成 25 年7月頃から令和5年2月頃にかけて、ProCX 社のコールセンター業務に関するシステムの提供及び保守運用を行っている NTT ビジネスソリューションズ株式会社(NTT 西日本が 100%出資する子会社。以下「BS 社」という。)の元従業者(派遣会社から BS 社に労働者派遣されていた派遣社員。以下「X」という。)が、委託元である民間事業者 30 社、独立行政法人1機関及び地方公共団体 38 団体(以下まとめて「本件委託元」という。)の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより漏えいが発生し、Xが名簿業者に売却した事案である。

第2 ProCX 社及び BS 社に対する対応状況

1 これまでの経緯

⑴ コールセンター業務を ProCX 社に委託していた本件委託元のうちの1社(以下「A社」という。)は、令和4年1月から3月に、同社の顧客から、「不審な投資の勧誘電話があり、A社から自身の個人情報が流出しているのではないか。」との問合せを複数回受け、顧客情報の漏えいの可能性が高いと認識した。そこで、社内調査、県警察への相談及び捜査依頼を行った。しかしながら、社内調査ではA社からの漏えいの事実は確認されなかったため、令和4年4月、大量に個人データ等の取扱いを委託する外部企業からの漏えいの疑いがあるとして、コールセンター業務の委託先であったProCX 社に調査を依頼したところ、ProCX 社は、BS 社と共に調査(以下「本件過去調査」という。)を実施したが、同年7月に、A社に対し、個人データの漏えいは確認されなかった旨を報告している。

⑵ 個人情報保護委員会(以下「当委員会」という。)は、令和5年 10 月 20 日、ProCX社及び BS 社に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 146 条第1項の規定により、漏えい事態の詳細、両社の安全管理措置の実施状況、本件過去調査等について報告等を求め、これについて、同年 11 月10 日、両社から報告書を受領した。しかしながら、同報告書では、ProCX 社及び BS社は、本件過去調査において不適切な調査報告が行われていたことは確認できているものの、不適切な調査報告が行われた経緯及び原因の解明には至っていないとして、明らかにしなかった。

⑶ 当委員会は、令和6年1月 24 日、ProCX 社及び BS 社に対し、本件過去調査における不適切な調査報告の経緯及び原因を未だに明らかにできていないことは、両社の組織的安全管理措置(個人データの取扱状況の把握及び安全管理措置の見直し)について不備があり、法第 23 条に違反していると認定し、法第 148 条第1項の規定により当該違反行為を是正するために必要な措置をとるよう勧告した。また、その他に確認された ProCX 社及び BS 社の安全管理措置等の不備については、問題点を改善するよう法第 147 条の規定により指導を行った。

⑷ ProCX 社及び BS 社は、当委員会に対し、令和6年2月 29 日に、本件過去調査における不適切な調査報告に至った経緯及び原因に関する報告書を提出し、同年3月 29日に、再発防止策の実施状況に関する報告書を提出した。

2 勧告に対する是正状況

ProCX 社及び BS 社は、当委員会が、本件過去調査においてA社に事実とは異なる内容を回答した経緯及び原因を調査し、問題点を明らかにするよう勧告したことに対し、令和6年2月 29 日付け報告書において、本件過去調査を検証し、複数の問題点があったものの、漏えいに繋がる端緒を意図的に隠蔽したものではなかったと結論付けている。また、発覚した複数の問題点についても、両社は、NTT 西日本が設置した調査委員会からの再発防止策の提言を受け、計画どおり同再発防止策を実施しており、ProCX 社及び BS 社における勧告に係る措置は現時点において一定の取組が認められるものである。

勧告に対する是正状況(一部)

3 指導に対する改善状況

ProCX 社は、当委員会からの人的安全管理措置(従業者の教育)及び委託先の監督(ProCX 社と BS 社との取り決め)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。

BS 社は、当委員会からの組織的安全管理措置(自主点検及びログの分析)、人的安全管理措置(従業者の教育)、物理的安全管理措置(USB メモリの利用)及び技術的安全管理措置(システム管理者アカウントのアクセス制御・システム管理者アカウントの共用・保守端末への個人データのダウンロード)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。

第3 本件委託元に対する対応状況

1 これまでの経緯

当委員会は、令和6年4月 26 日から同年5月 10 日にかけて、本件委託元に対し、法第146 条第1項又は法第 156 条の規定により報告等を求め、本件委託元による ProCX 社及び BS 社に対する監督状況を調査してきた。

2 本件委託元への対応

調査の結果、事案発生当時の本件委託元には、ProCX 社との間の委託契約書における取り決め及び ProCX 社の個人データ取扱状況の把握について、個人情報の保護に関する法律についてのガイドライン(通則編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)で求める委託先の監督措置と比較し、不十分な点があることが判明した。

本件事案におけるXによる不正持ち出しは、所属組織である BS 社においても長年気付けずにいたものであるため、本件委託元による委託先の監督措置の不備が原因で不正持ち出しの未発覚に至ったとまではいえないものの、本件事案による気付きを個人データの取扱いの委託を行う委託元全般に注意喚起することにより、委託先の取扱実態も含めて適切に監督を行うことへの意識を高めてもらえることに期待する。

委託元に対する調査結果について


第4 名簿業者に対する対応状況

1 これまでの経緯

Xが持ち出した個人データの提供先について情報収集に努めてきたところ、岡山県警察及び ProCX 社からの情報提供、令和6年5月 23 日に開かれた岡山地方裁判所津山支部での公判時のXの供述等により、持ち出した個人データが株式会社中央ビジネスサービス及びネクストステージ合同会社に売却されたことが明らかとなったため、当委員会は、同年6月 19 日に株式会社中央ビジネスサービス、同月 20 日にネクストステージ合同会社に対し、法第 146 条第1項の規定による立入検査を行った。

2 名簿業者への対応

当委員会は、株式会社中央ビジネスサービス及びネクストステージ合同会社に対する立入検査を実施し、両社共に、Xから個人データを取得していた事実を確認した。

また、当委員会は、両社に対し、Xから取得した個人データの削除を求めたところ、両社は既に消去済みである旨を説明し、当委員会において両社の個人情報データベース等から当該データの残存を確認することはできなかった。

両社には、Xからの個人データの取得、提供等に関して法違反が認められたため、以下のとおりの対応を実施した。

⑴ 株式会社中央ビジネスサービス

ア 以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、株式会社中央ビジネスサービスの法遵守状況を注視していくこととする。

① 不適正取得(法第 20 条第1項の規定違反)

Xから大量の個人データを取得するに当たり、Xによる個人データの提供が法第 27 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、法第 20 条第1項の規定に違反する。

② 第三者提供を受ける際の確認義務(法第 30 条第1項第2号)違反

Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。

イ 当委員会が法第 146 条第1項の規定により実施した報告等の求めに対し、虚偽の報告をした事実が確認されたため、刑事告発を実施する。

⑵ ネクストステージ合同会社

以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、ネクストステージ合同会社の法遵守状況を注視していくこととする。

① 不適正取得(平成 27 年改正法1第 17 条第1項の規定違反)

Xから大量の個人データを取得するに当たり、Xによる個人データの提供が平成 27 年改正法第 23 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、平成 27年改正法第 17 条第1項の規定に違反する。

② 第三者提供の制限(法第 27 条第1項)違反

令和4年4月以降、法第 27 条第2項本文の規定(オプトアウト規定)により、Xから法 20 条第1項の規定に違反して取得した個人データを第三者に提供することは禁止されており(同項ただし書2)、本人同意を得ることなく当該個人データを第三者に提供していた行為は、法第 27 条第1項の規定に違反する。

③ 第三者提供を受ける際の確認義務(平成 27 年改正法第 26 条第1項第2号)違反

Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。

⑶ 詳細は、別紙3「株式会社中央ビジネスサービス及びネクストステージ合同会社に対する個人情報の保護に関する法律に基づく行政上の対応について」参照。

リリース文アーカイブ

【2024年1月24日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-397】東本願寺出版 旧ホームページの使用について 2024/9/10

 

平素より、東本願寺出版ホームページをご利用いただきありがとうございます。

2023年10月の東本願寺出版ホームページリニューアルに伴い、旧ホームページの使用を終了いたしましたが、

現在、旧ホームページにアクセスした場合、

東本願寺出版とは関わりのない団体のホームページが表示されております。

これは、新ホームページ開設の際に旧ホームページのサーバーを解約しドメイン(※)を東本願寺出版から手放した後に、

第三者の方が、ドメインを取得し、新たなサーバーでWEBサイトを立ち上げていることによるもので、

弊部にて内容を変更することはできません。

つきましては、あらためて東本願寺出版のリニューアル後のホームページをご利用いただけるよう周知に努めてまいります。

また、お手数ではございますが、お気に入り登録をされている方は、

リニューアル後のHP  https://books.higashihonganji.or.jp/

を再度ご登録いただきますようお願いいたします。

引き続き東本願寺出版をよろしくお願い申し上げます。

※ドメイン・・・インターネット上の住所

リリース文アーカイブ

【セキュリティ事件簿#2024-275】税理士法人髙野総合会計事務所 ランサムウェア被害発生に関する調査結果のご報告 2024/9/11

 

2024年6月10日に公表しました「ランサムウェア被害発生についてのお知らせ(初報)」及び同年7月10日に公表しました「ランサムウェア被害発生についてのお知らせ(第2報)」につきまして、その後、外部専門機関などの支援を受けながら影響の範囲等の調査と復旧への対応を継続して進めておりましたが、この度、本事案に関するフォレンジック調査(※)が終了し、報告書を受領しましたので、当該調査結果及び再発防止に向けた取り組みについてご報告申し上げます。

当グループのシステムは、現時点で新しいサーバおよびセキュリティ環境の下で稼働しており、現時点まで今回のランサムウェア被害に関わる情報流出は確認されておりません。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになりましたことを深くお詫び申し上げます。

(※)デジタル機器の記憶装置から証拠となるデータを抽出し、サーバや通信機器等に蓄積されたログ等の証跡情報から発生した事象を明らかにする手段や技術

1. 発生した事象と経緯

6月4日(火)夜に税理士法人髙野総合会計事務所、髙野総合コンサルティング株式会社及び監査法人TSK(以下、当グループとします。)のデータ管理サーバにおいて発生したアラートを契機に、速やかに当該データサーバの隔離および当グループネットワークのインターネット遮断を実施し、委託業者(※1)による調査を行ったところ、6月6日(木)夜にランサムウェアによる被害が発生していることを確認しました。

(※1)当グループのITシステムの保守を委託している業者 

2. 外部専門機関の調査で判明した内容

(1)本事象の原因

6月7日(金)より外部専門機関による調査を行い、下記の事項が判明いたしました。

・6月4日(火)に外部(海外)より複数サーバに対して不正アクセスが行われていたこと

・不正アクセスに先立つ5月26日(日)に行われた当グループのインターネット接続点に設置する通信機器の更新作業において、委託業者が通信機器の設定を誤った結果、当グループのデータサーバに不正アクセスできる状態であったこと

・当該経路から不正アクセスが行われ、ウィルス対策ソフトの停止を含む当グループのセキュリティ対策の無効化が行われたのちに、ランサムウェアが実行された可能性が高いこと

(2)影響を受けた情報の範囲

調査の結果、データサーバの一部で保管しているファイルがランサムウェアにより暗号化されていることが判明しました。暗号化されたデータには、お取引先様からお預かりしたデータも含まれており、当該お預かりしたデータには氏名、住所、電話番号等の 個人情報が含まれていることを確認しております。なお、個人情報保護法に基づき、お取引先様と連携して対応を進めております。

(3)情報漏えいの可能性

調査の結果、外部との微量な通信が確認されているため、情報漏えいの可能性を完全に否定することはできないものの、現時点では、個人情報を含む各種情報が外部に流出したことを示す事実や、攻撃者によって情報が公開されている事実は確認されておりません。

3.現在および今後の対応

現在、本事象の影響を受けない形で新たなシステム環境を構築し、業務を復旧しております。なお、今後も情報漏えいの有無について、外部専門機関により監視を継続し、新たな事実が判明しましたら、お知らせいたします。

4. 再発防止策

本事案について外部専門機関等と連携して、今後の情報セキュリティ面の強化及び再発防止のための対策を講じております。

(1)業務委託先の選定及び監督の強化

 ①業務委託におけるセキュリティリスクの評価

 ➁業務委託のセキュリティリスクに応じた委託先への安全管理措置の策定、実施の要求、実施状況の把握

 ③委託契約における監督権限の明文化

 ④その他委託先の選定及び監督に必要な行為の実施

(2)インシデント事案が発生した場合の管理体制の整備

(3)社内セキュリティポリシーの再確認・セキュリティポリシーの実施状況の定期検査の実施

(4)技術的対策

 ①IT環境の刷新

本インシデントの影響を受けない環境とするため、ネットワーク、システム、端末を含むIT環境を新たに構築して業務を再開しております。

 ➁アクセス制御の強化

ネットワーク境界をベースとしたアクセス制御からID認識ベースのアクセス制御に移行することにより厳格なアクセス制御を適用しております。

 ③認証強化

ID認識ベースのアクセス制御への移行とあわせ、多要素による認証強化を行っております。

 ④監視機能の強化

最新のセキュリティソリューションの導入のほか、認証および端末操作のログ取得を通じて、異常検知の強化を行ってまいります。

リリース文(アーカイブ)

【2024年7月10日リリース分】

リリース文アーカイブ

【2024年6月10日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-396】神戸製鋼所健康保険組合 不正アクセスによる個人情報漏えいのおそれについて 2024/9/11

 この度、神戸製鋼所健康保険組合(以下、「当組合」)が業務システムの管理・運用を委託しております一般財団法人関西情報センター(以下、「関西情報センター」)より、関西情報センターの委託先である株式会社ヒロケイ(以下、「ヒロケイ」)のサーバーに不正アクセスがあった旨の報告を受けました。その結果、当組合が取り扱う個人情報が漏えいしたおそれがあることが発覚いたしましたので、ご報告申し上げます。

当組合は今回の事案を重く受け止め、皆様にご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

1.事象の経緯(概要及び原因)

2024年8月22日、関西情報センターより、ヒロケイのサーバーにランサムウェアによる不正アクセスがあり、本来は削除されているべき当組合のデータが格納されていたサーバーも対象となった旨の報告がありました。

2024年8月28日には、関西情報センターより、詳細情報が提供されました。

2.漏えいしたおそれのある個人情報

(1)個人情報の種類

氏名、性別、生年月日、住所、電話番号、保険証の記号番号

※医療機関受診歴や健康診断結果等のセンシティブな情報、マイナンバーは含まれておりません。

(2)対象となる人数

86,936名(2017年当時の資格喪失者、被保険者及び被扶養者)

※当組合とヒロケイのネットワークは接続しておりませんので、上記以外の情報については漏えいのおそれはありません。

3.二次被害のおそれ

現時点において、本件による情報の不正利用などの事実は確認されておりませんが、不審な電話や郵送物が届くような事象が発生した場合は、応答や開封の際は慎重なご対応をお願い申し上げます。

4.当組合の対応

関係機関(個人情報保護委員会及び近畿厚生局)には、2024年8月23日に必要な報告を行っており、再発防止の徹底に最大限努めてまいります。

ご連絡先が把握できております皆様には、9月末から順次、個別にお知らせの手紙をお送りする予定です。また、個別にご連絡ができない皆様には、本発表を以て、通知と代えさせていただきます。

今後、新たな事実が判明した場合には、改めてご報告申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-395】中国しんきん健康保険組合 業務委託先におけるネットワークへの外部からの不正アクセス被害の発生について(お詫び) 2024/9/3

健康保険組合の事業運営につきましては、平素より格別のご理解とご協力を賜り厚くお礼申し上げます。

さて、当健康保険組合の業務委託先(株式会社ヒロケイ)において、社内サーバーへの不正アクセスがあり、被害を受けた社内サーバーの中に、当健康保険組合の個人情報が含まれていたことが判明し、関係者の皆様へは多大なるご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。また、ご報告までに期間を要しましたこと重ねてお詫び申し上げます。

今後このような事態を二度と起こさないよう十分注意し、委託先に対し、必要かつ適切な監督を行うとともに、引き続き、関係各所と連携を取りつつ適切な対応に努めてまいります。

現在判明している事実と対応につきましては、下記のとおりでございます。

なお、当健康保険組合のネットワークにつきましては、業務委託先のネットワークと物理的に分断されており不正アクセスによる被害はございません。

1.事象の概要及び原因

2024年6月3日、当健康保険組合の業務委託先(株式会社ヒロケイ)において、社内サーバーへの不正アクセスがあり、社内サーバー内のデータが一部、暗号化されたことが確認されました。

外部専門家の調査によりますと社内サーバーの脆弱性及びVPNルータの設定不備により外部から攻撃を受けたものと推測されております。

調査を進める中で、この社内サーバー内に本来削除されているべきである当健康保険組合の個人情報が残っていたことが判明いたしました。

現時点で皆様の個人情報の漏えい事実は確認されておりません。

2.社内サーバー内に含まれていた個人情報の内容

氏名、性別、生年月日、2016年(平成28年)7月請求分の診療情報、被保険者証記号・番号、保険者番号、保険医療機関・保険薬局の名称及び所在地

3.二次被害への対策について

速やかに個人情報保護委員会など関係各所へ届け出るとともに二次被害防止を図っておりますが、現在までに上記の個人情報が不正に使用されたとの報告はございません。

引き続き二次被害発生状況の監視を行い、二次被害等の新たな情報が発覚した場合は、速やかにご報告させていただきます。

4.本件に関するお問合せ先

  「個人情報対応窓口」(株式会社ヒロケイ専用ダイヤル)

  電話:0120-345-634(受付時間 平日9:00~17:00)

リリース文アーカイブ

【セキュリティ事件簿#2024-394】一般財団法人関西情報センター 当財団の委託先からの個人情報漏洩のおそれがある事故の発生について 2024/9/6

このたび、当財団の委託先である株式会社ヒロケイ(https://www.hirokei.co.jp/)が外部からのサイバー攻撃を受けたことから、ヒロケイ社のサーバ内に保管されていた個人情報が漏えいしたおそれがあることを確認いたしました。

お客さまをはじめ関係者の皆さまには、ご迷惑とご心配をおかけしておりますことを深くお詫びいたします。

本件に関する影響範囲調査に基づき、現在、判明している事実関係等についてご報告いたします。

1.事実関係

2024年4月に、ヒロケイ社が外部からサイバー攻撃を受け、攻撃を受けたサーバに、過去に当財団のお客さまから取得した健康関連事業に関する個人情報が含まれておりました。

調査で検出された不正プログラムの特徴から、個人情報漏洩の可能性はあるものの、現時点では漏洩した痕跡は検出されておりません。しかしながら、漏洩の可能性を完全に否定することは難しいことから、漏洩に関する調査を継続しております。

2.発生原因

ヒロケイ社のサーバの脆弱性およびVPNルータの設定不備から、ランサムウエア「Phobos」のリモートアクセスによるサイバー攻撃を受けたものです。

3.対応策

委託先と連携しながら、関係するお客さまには、個別にご報告し対応しております。今後、委託先管理の厳正化や委託先を含めた研修の実施等、再発防止策を実施してまいります。 

リリース文アーカイブ