【セキュリティ事件簿#2024-403】岐阜県 物件調査再委託業者サーバーへの不正アクセスについて 2024/9/12

 

可茂土木事務所が令和4年度に発注した白川町内における河川改修工事の物件調査委託業務において、業務を受注した日本工営都市空間株式会社岐阜営業所(以下「受託者」という。)から業務の一部を受託した柴山コンサルタント株式会社(以下「再委託先事業者」という。)のサーバーに不正アクセスがあり、個人情報等の漏えいの可能性があることが判明しました。

1 事案の概要

6月30日(日)に再委託先事業者のサーバーが不正アクセスを受け、再委託先事業者が調査をした結果、本日、個人情報等の漏えいの可能性がある旨、受託者から県に報告がありました。

これを踏まえて、当該委託業務の調査対象者12者に事案の概要を説明のうえ謝罪を行いました。

○不正アクセスにより漏えいの可能性がある情報の概要

・調査対象者数:12者(個人11名、法人1社)

・調査対象者の個人情報等の内容

氏名、住所、家族構成、生年月日、電話番号、補償物件に関する情報(補償算定額、建物等の種類・寸法・形状・数量・配置、写真等)

・受託者の調査者氏名:2名

2 経緯

令和6年6月30日(日) 再委託先事業者において不正アクセス被害を確認

 7月19日(金) 受託者から可茂土木事務所に報告、同事務所が受託者に調査を指示

 8月 9日(金) 受託者から中間報告(詳細が判明していないため、調査を継続)

 9月12日(木) 受託者から調査結果の報告、直ちに、調査対象者へ説明及び謝罪

3 現在の状況

現時点において、本事案に係るトラブル等は確認されていません。

4 今後の対応

本件の受託者に対し、個人情報を含む情報の取扱いルールの再確認を指示し、より一層の情報管理の徹底を図ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-402】株式会社アベニュー 不正アクセスによる個人情報漏えいのおそれのお知らせとお詫び 2024/8/26

 

本年4月上旬に、賃貸管理会社の株式会社アベニュー及び関連会社のサーバー機器がランサムウェアに感染し、お客様の個人情報が外部へ流出したおそれがあることが判明しました。

関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

今回の直接の原因は、賃貸管理会社のアベニュー及び関連会社のシステム保守を委託している会社により、セキュリティ機器の設定変更が行われた際に、委託先会社担当者による設定上のミスによりセキュリティの不備が発生した点にあり、これにより第三者による弊社サーバーへの不正アクセスの痕跡が確認されました。

なお、その後、上記不備については速やかに侵入経路を特定しセキュリティ上の不備は解消されています。他方、不備の解消までの間に実際にデータが流出したかは不明となっております。

【漏えいのおそれのある個人情報】

物件の入居者及び退去者に関する以下の個人情報

・氏名・住所・生年月日・電話番号・メールアドレス等申込情報

・勤務先・勤務先住所・勤務先電話番号

【事故発生後の対応】

当社は、サーバーへの不正アクセスを認知後、個人情報保護委員会及び警察へ報告いたしました。外部の専門機関による調査でも、個人情報が外部に流出したかは不明ですが、その可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。

これらの個人情報を悪用した何らかの不審な電話・メール等を受け取られた場合は注意して対応していただくようお願いいたします。

今回の事態を重く受け止め、今後もセキュリティ対策の強化に取り組んでまいります。

Labels:

【セキュリティ事件簿#2024-401】愛知県 業務委託先における個人情報の漏えいのおそれについて 2024/9/12

 

このたび、本県の公共事業における測量・設計等業務の委託先である柴山コンサルタント株式会社(以下、同社という)、柴山コンサルタント司法書士法人、柴山コンサルタント土地家屋調査士法人、柴山コンサルタント税理士法人及び株式会社柴山事務所(以下、柴山グループという)のデータを管理するサーバーの一つに対して、第三者からの不正アクセス被害があり、柴山グループが保有していた個人情報が漏えいしたおそれがあると、同社から報告がありました。

当該報告では、柴山グループが保有していた個人情報の漏えい内容は特定されておらず、県の情報が保管されていたサーバーへのアクセスはないが、不正アクセスされたサーバーを経由して情報漏えいした可能性を否定できないことから、本県の委託業務に係る情報も漏えいしたおそれのある情報の中に含まれるとのことです。

本県の公共事業にご協力いただいた皆様を始め、関係者の方々にご迷惑をおかけしたことを深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。

1 被害状況

(1)不正アクセスを受けた会社

  • 柴山コンサルタント株式会社(本県の業務委託先)
  • 柴山コンサルタント司法書士法人
  • 柴山コンサルタント土地家屋調査士法人
  • 柴山コンサルタント税理士法人
  • 株式会社柴山事務所

(2)経緯

  • 2024 年6月 30 日(日)

柴山グループが管理するサーバーが不正アクセスの被害を受けた。

  • 2024 年7月2日(火)

同社が愛知県警に相談し、被害届を提出した。

  • 2024 年7月 11 日(木)

同社が情報セキュリティ委託業者へ、情報漏えいに関する調査を依頼した。

  • 2024 年7月 19 日(金)

同社から本県に対して、不正アクセスを受けたこと、個人情報の漏えいについて調査中であること、不正利用等は現時点では確認されていないことの報告があった。

  • 2024 年9月 12 日(木)

同社から本県に対して、同社の情報セキュリティ委託業者による調査の結果、個人情報が漏えいしたおそれ(※)がある旨の報告があった。

※漏えいしたおそれと判断した同社の考え方
  • 同社が管理するサーバーは三つあり、それぞれが接続されている。
  • そのうち一つのサーバーに対して、不正アクセスがあった。
  • 一方、県の委託業務のデータが保管されているサーバーには不正アクセスはなかった。
  • しかしながら、
    ①漏えい情報を調査した結果、どの情報が漏えいしたかは特定されなかった。
    ②サーバー間のデータ移動について調査した結果、サーバー間のデータ移動に関して特定できなかった。
  • ①②により情報漏えいの可能性を否定できないため、漏えいのおそれがあると判断した。

(3)漏えいしたおそれのある個人情報

柴山グループが保有していた個人情報が漏えいしたおそれがあり、そのうち、本県の委託業務に係るものはのべ 683 名分であった。

個人情報については、契約約款に基づき委託先においても管理している。

委託業務名件数のべ人数主な個人情報
用地調査及び物件調査業務委託(※1)36件413名用地調査
住所、氏名、電話番号、実測面積、境界標の座標に関する情報
物件調査
住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置)
測量及び設計業務委託(※2)4件226名住所、氏名、電話番号、実測面積、境界標の座標に関する情報
事業損失防止調査業務委託(※3)4件16名住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置)
住宅工作物調査等委託(※4)2件28名住所、氏名、電話番号


(4)柴山グループの対応

同社において、本日から、漏えいしたおそれのある対象者宛てに順次お知らせするとともに、問合せ窓口を設置して対応する。

2 県の対応(再発防止策)

県としては、今回の事案を踏まえ、個人情報の適正な管理及び取扱いについて、受託者を指導するとともに、同様の事案が発生しないよう、関係団体に対し、個人情報の漏えいの防止その他の安全管理の一層の徹底を図り、再発防止に努める。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-400】柴山コンサルタント株式会社 当グループサーバーへの不正アクセスについてのお知らせ 2024/9/12


 日頃、ご愛顧賜りまして誠にありがとうございます。

このたび、柴山コンサルタント株式会社、柴山コンサルタント司法書士法人、柴山コンサルタント土地家屋調査士法人、柴山コンサルタント税理士法人及び株式会社柴山事務所(以下「当グループ」といいます。)のデータを管理するサーバーに対して、第三者による不正アクセス攻撃を受けました(以下「本件」といいます。)。

今般、セキュリティ専門機関による調査が完了し、当グループが管理するサーバー内に保存された個人データが、漏えいした可能性があることが判明いたしました。

お客様をはじめ関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、既に被害にあったサーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。 

1.本件の概要等

 2024 年6月 30 日、当グループは、コンピュータシステムの異常を確認し、直ちにネットワークの遮断等の必要な措置を実施するとともに、セキュリティ専門機関に調査を依頼しました。その後、当グループが管理するサーバーへの不正アクセスが行われたのち、サーバーに記録されていたデータ(当グループの取引先からの委託にともなって記録されていたデータを含みます。)がランサムウェアにより暗号化されたことが判明いたしました。

なお、当グループは、本件につきまして、個人情報保護委員会に報告済みでございます。

また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。 

2.原因

詳細の特定には至らなかったものの、セキュリティ専門機関からは、フィッシングの可能性が推測されるとの報告を受けております。 

3.二次被害又はそのおそれの有無

二次被害のおそれは完全には否定できませんが、現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。 

4.お客様および関係者の皆様へのお詫びと本件に関するお問い合わせ先

お客様をはじめ、関係者の皆様には多大なご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

個人データが漏えいした可能性があるお客様および関係者の皆様には、お詫びとお知らせ(漏えいの可能性があるデータ項目を記載したもの)を個別に順次ご通知いたします。

なお、本件に関するお問い合わせは以下のコールセンターまたはメールアドレスまでお願いいたします。

当グループでは、これまでも不正アクセスを防止するための措置を講じるとともに、情報の適切な管理に努めてまいりましたが、このたびの事態を受け、外部の専門家とも検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定でございます。

 改めまして、本件につきましてお客様および関係者の皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。 

Labels:

【セキュリティ事件簿#2024-399】三陽物産株式会社 不正アクセスによる個人情報流出の可能性のお知らせ 2024/9/6

 

当社は、悪意ある第三者による社内サーバーへの不正アクセスを受け、調査を進めてきましたが、お客様・お取引先様・従業員等に関する個人情報流出の可能性が否定できないことが判明したため、法律の専門家および外部専門機関等と協議の結果、個人情報保護法等の法令に基づき、皆さまにお知らせすることといたしました。

現時点では本件に関わる個人情報の不正利用の事実は確認されておりません。

〈発生の経緯〉

8月27日早朝、社内システムへのアクセスができないことが判明し、調査を開始したところ、複数のサーバーでデータが不正に暗号化されていることが確認されました。被害の拡大を防ぐために、不正アクセスを受けた可能性のある全てのサーバーへのアクセスを遮断し、当社内機器に対してウィルススキャンを実施、安全性を確認しております。

今後については、復旧作業を進めると同時に、原因及び被害状況の調査を進めてまいります。なお、8月28日に警察当局への届け出、8月31日に個人情報保護委員会への報告は完了しております。

この度は、お客様ならびに関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-398】ヤマトホールディングス株式会社 海外子会社サーバーへの不正アクセスの発生について 2024/9/12

 

ヤマトホールディングス株式会社(本社:東京都中央区、代表取締役社長:長尾裕、以下「ヤマトHD」)は、シンガポールヤマト運輸株式会社(本社:シンガポール共和国、代表取締役社長:梨本祐児、以下「YTS」)が、9月4日(水)に、同社のサーバーが第三者による不正アクセスを受けたことを確認しましたので、お知らせいたします。

YTSでは、不正アクセスの確認後、速やかに外部からのアクセスを制限するなど必要な対策を講じるとともに、関係当局への報告を行っています。

また、現在、セキュリティ専門機関の協力を得て、原因および影響範囲の調査を進めるとともに、情報セキュリティの強化および再発防止策の検討を進めています。

なお、今回の不正アクセスはYTSのサーバーにとどまり、ヤマトHDを含む他のヤマトグループのサーバーやネットワークへの影響がないことを確認しています。

関係する皆さまに多大なるご迷惑とご心配をおかけしていることを、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-416】個人情報保護委員会 株式会社 NTT マーケティングアクト ProCX 等における 不正持ち出し事案に対する個人情報の保護に関する法律 に基づく行政上の対応について 2024/9/11

 

個人情報保護委員会は、本日、株式会社 NTT マーケティングアクト ProCX 等における不正持ち出し事案に対する個人情報の保護に関する法律(平成 15 年法律第 57号)に基づく行政上の対応について、以下資料のとおり、取りまとめましたので、お知らせいたします。

第1 事案の概要

1 株式会社 NTT マーケティングアクト ProCX(西日本電信電話株式会社(以下「NTT 西日本」という。)が 100%出資する子会社。以下「ProCX 社」という。)は、多数の民間事業者及び地方公共団体等から委託を受け、商品販売等や健康診断等の行政上の通知に係るコールセンター業務(以下「コールセンター業務」という。)を行っている。

2 本件は、平成 25 年7月頃から令和5年2月頃にかけて、ProCX 社のコールセンター業務に関するシステムの提供及び保守運用を行っている NTT ビジネスソリューションズ株式会社(NTT 西日本が 100%出資する子会社。以下「BS 社」という。)の元従業者(派遣会社から BS 社に労働者派遣されていた派遣社員。以下「X」という。)が、委託元である民間事業者 30 社、独立行政法人1機関及び地方公共団体 38 団体(以下まとめて「本件委託元」という。)の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより漏えいが発生し、Xが名簿業者に売却した事案である。

第2 ProCX 社及び BS 社に対する対応状況

1 これまでの経緯

⑴ コールセンター業務を ProCX 社に委託していた本件委託元のうちの1社(以下「A社」という。)は、令和4年1月から3月に、同社の顧客から、「不審な投資の勧誘電話があり、A社から自身の個人情報が流出しているのではないか。」との問合せを複数回受け、顧客情報の漏えいの可能性が高いと認識した。そこで、社内調査、県警察への相談及び捜査依頼を行った。しかしながら、社内調査ではA社からの漏えいの事実は確認されなかったため、令和4年4月、大量に個人データ等の取扱いを委託する外部企業からの漏えいの疑いがあるとして、コールセンター業務の委託先であったProCX 社に調査を依頼したところ、ProCX 社は、BS 社と共に調査(以下「本件過去調査」という。)を実施したが、同年7月に、A社に対し、個人データの漏えいは確認されなかった旨を報告している。

⑵ 個人情報保護委員会(以下「当委員会」という。)は、令和5年 10 月 20 日、ProCX社及び BS 社に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 146 条第1項の規定により、漏えい事態の詳細、両社の安全管理措置の実施状況、本件過去調査等について報告等を求め、これについて、同年 11 月10 日、両社から報告書を受領した。しかしながら、同報告書では、ProCX 社及び BS社は、本件過去調査において不適切な調査報告が行われていたことは確認できているものの、不適切な調査報告が行われた経緯及び原因の解明には至っていないとして、明らかにしなかった。

⑶ 当委員会は、令和6年1月 24 日、ProCX 社及び BS 社に対し、本件過去調査における不適切な調査報告の経緯及び原因を未だに明らかにできていないことは、両社の組織的安全管理措置(個人データの取扱状況の把握及び安全管理措置の見直し)について不備があり、法第 23 条に違反していると認定し、法第 148 条第1項の規定により当該違反行為を是正するために必要な措置をとるよう勧告した。また、その他に確認された ProCX 社及び BS 社の安全管理措置等の不備については、問題点を改善するよう法第 147 条の規定により指導を行った。

⑷ ProCX 社及び BS 社は、当委員会に対し、令和6年2月 29 日に、本件過去調査における不適切な調査報告に至った経緯及び原因に関する報告書を提出し、同年3月 29日に、再発防止策の実施状況に関する報告書を提出した。

2 勧告に対する是正状況

ProCX 社及び BS 社は、当委員会が、本件過去調査においてA社に事実とは異なる内容を回答した経緯及び原因を調査し、問題点を明らかにするよう勧告したことに対し、令和6年2月 29 日付け報告書において、本件過去調査を検証し、複数の問題点があったものの、漏えいに繋がる端緒を意図的に隠蔽したものではなかったと結論付けている。また、発覚した複数の問題点についても、両社は、NTT 西日本が設置した調査委員会からの再発防止策の提言を受け、計画どおり同再発防止策を実施しており、ProCX 社及び BS 社における勧告に係る措置は現時点において一定の取組が認められるものである。

勧告に対する是正状況(一部)

3 指導に対する改善状況

ProCX 社は、当委員会からの人的安全管理措置(従業者の教育)及び委託先の監督(ProCX 社と BS 社との取り決め)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。

BS 社は、当委員会からの組織的安全管理措置(自主点検及びログの分析)、人的安全管理措置(従業者の教育)、物理的安全管理措置(USB メモリの利用)及び技術的安全管理措置(システム管理者アカウントのアクセス制御・システム管理者アカウントの共用・保守端末への個人データのダウンロード)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。

第3 本件委託元に対する対応状況

1 これまでの経緯

当委員会は、令和6年4月 26 日から同年5月 10 日にかけて、本件委託元に対し、法第146 条第1項又は法第 156 条の規定により報告等を求め、本件委託元による ProCX 社及び BS 社に対する監督状況を調査してきた。

2 本件委託元への対応

調査の結果、事案発生当時の本件委託元には、ProCX 社との間の委託契約書における取り決め及び ProCX 社の個人データ取扱状況の把握について、個人情報の保護に関する法律についてのガイドライン(通則編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)で求める委託先の監督措置と比較し、不十分な点があることが判明した。

本件事案におけるXによる不正持ち出しは、所属組織である BS 社においても長年気付けずにいたものであるため、本件委託元による委託先の監督措置の不備が原因で不正持ち出しの未発覚に至ったとまではいえないものの、本件事案による気付きを個人データの取扱いの委託を行う委託元全般に注意喚起することにより、委託先の取扱実態も含めて適切に監督を行うことへの意識を高めてもらえることに期待する。

委託元に対する調査結果について


第4 名簿業者に対する対応状況

1 これまでの経緯

Xが持ち出した個人データの提供先について情報収集に努めてきたところ、岡山県警察及び ProCX 社からの情報提供、令和6年5月 23 日に開かれた岡山地方裁判所津山支部での公判時のXの供述等により、持ち出した個人データが株式会社中央ビジネスサービス及びネクストステージ合同会社に売却されたことが明らかとなったため、当委員会は、同年6月 19 日に株式会社中央ビジネスサービス、同月 20 日にネクストステージ合同会社に対し、法第 146 条第1項の規定による立入検査を行った。

2 名簿業者への対応

当委員会は、株式会社中央ビジネスサービス及びネクストステージ合同会社に対する立入検査を実施し、両社共に、Xから個人データを取得していた事実を確認した。

また、当委員会は、両社に対し、Xから取得した個人データの削除を求めたところ、両社は既に消去済みである旨を説明し、当委員会において両社の個人情報データベース等から当該データの残存を確認することはできなかった。

両社には、Xからの個人データの取得、提供等に関して法違反が認められたため、以下のとおりの対応を実施した。

⑴ 株式会社中央ビジネスサービス

ア 以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、株式会社中央ビジネスサービスの法遵守状況を注視していくこととする。

① 不適正取得(法第 20 条第1項の規定違反)

Xから大量の個人データを取得するに当たり、Xによる個人データの提供が法第 27 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、法第 20 条第1項の規定に違反する。

② 第三者提供を受ける際の確認義務(法第 30 条第1項第2号)違反

Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。

イ 当委員会が法第 146 条第1項の規定により実施した報告等の求めに対し、虚偽の報告をした事実が確認されたため、刑事告発を実施する。

⑵ ネクストステージ合同会社

以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、ネクストステージ合同会社の法遵守状況を注視していくこととする。

① 不適正取得(平成 27 年改正法1第 17 条第1項の規定違反)

Xから大量の個人データを取得するに当たり、Xによる個人データの提供が平成 27 年改正法第 23 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、平成 27年改正法第 17 条第1項の規定に違反する。

② 第三者提供の制限(法第 27 条第1項)違反

令和4年4月以降、法第 27 条第2項本文の規定(オプトアウト規定)により、Xから法 20 条第1項の規定に違反して取得した個人データを第三者に提供することは禁止されており(同項ただし書2)、本人同意を得ることなく当該個人データを第三者に提供していた行為は、法第 27 条第1項の規定に違反する。

③ 第三者提供を受ける際の確認義務(平成 27 年改正法第 26 条第1項第2号)違反

Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。

⑶ 詳細は、別紙3「株式会社中央ビジネスサービス及びネクストステージ合同会社に対する個人情報の保護に関する法律に基づく行政上の対応について」参照。

リリース文アーカイブ

【2024年1月24日リリース分】

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-397】東本願寺出版 旧ホームページの使用について 2024/9/10

 

平素より、東本願寺出版ホームページをご利用いただきありがとうございます。

2023年10月の東本願寺出版ホームページリニューアルに伴い、旧ホームページの使用を終了いたしましたが、

現在、旧ホームページにアクセスした場合、

東本願寺出版とは関わりのない団体のホームページが表示されております。

これは、新ホームページ開設の際に旧ホームページのサーバーを解約しドメイン(※)を東本願寺出版から手放した後に、

第三者の方が、ドメインを取得し、新たなサーバーでWEBサイトを立ち上げていることによるもので、

弊部にて内容を変更することはできません。

つきましては、あらためて東本願寺出版のリニューアル後のホームページをご利用いただけるよう周知に努めてまいります。

また、お手数ではございますが、お気に入り登録をされている方は、

リニューアル後のHP  https://books.higashihonganji.or.jp/

を再度ご登録いただきますようお願いいたします。

引き続き東本願寺出版をよろしくお願い申し上げます。

※ドメイン・・・インターネット上の住所

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)