この度、松前町総務部危機管理課の担当者が主催事業の応募結果メールを送付する際に、誤って、受信する人が全員のメールアドレスを見ることができる状態でメールを送信してしまったため、該当者の皆さまのメールアドレスがほかの皆さまに漏れることになってしまいました。
関係者の皆さまに多大な御迷惑をおかけし、深くお詫び申し上げます。
今後、再発防止に向け、より一層の情報管理を徹底してまいります。
(1) 発生日
令和6年11月8日(金曜日)
(2)発生場所
松前町総務部 危機管理課 危機管理係
(3)漏えいした個人情報
親子防災キャンプに参加申し込みをいただいている方のメールアドレス12件
今回の事故の経緯及び原因を確認するとともに、職員に対し、個人情報等の取扱い及び情報管理の徹底を図り、再発防止に努める。
平素よりジュピターショップチャンネル株式会社(以下「当社」)が運営するECサイト(https://www.shopch.jp)(以下「当社サイト」)をご利用いただきまして誠にありがとうございます。
この度、当社サイトへの不正なログインが発生し、一部のお客さまの個人情報(①氏名、②住所、③電話番号、④Eメールアドレス、⑤生年月日(月日のみ))が不正に閲覧された可能性があることを確認いたしました。ご登録されていた方のクレジットカード番号の下4桁と有効期限も閲覧された可能性がありますが、カード利用に必要な全桁のカード番号やセキュリティコードについては、当社システム上にデータを保有していないため、クレジットカード情報の全てを閲覧された可能性はありません。
現時点では、「なりすまし」による不正購入等の発生は確認されておりませんが、関係行政機関に届出の上、引き続き不審なアクセスの監視および、受注データのチェックを行ってまいります。
お客さまをはじめ、関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。
現時点で確認している事態と当社の対応は次のとおりです。
2024年11月15日(金)10:30頃より、当社ECサイトに対し不審なアクセスが発生していることを確認いたしました。2024年11月19日(火)10:00時点で約15,000件の不正ログインによるお客さま個人情報へのアクセスを確認しております。
不正ログインのあったお客様のアカウントに対し、当社にてパスワードのリセットを実施いたしました。
本件対象となるお客さまにおかれましては、当社より個別にご連絡いたしますので、パスワードの再設定をお願いいたします。再設定の際は、他のサービスなどで設定されているパスワードのご利用や第三者が容易に推測できるパスワードはお控えいただき、極力過去に使ったことの無いパスワードでの設定をお願いいたします。
また、今回個別にご連絡を差し上げていないお客さまにおかれましても、他のサービスなどで設定されていないパスワードや第三者が容易に推測できないパスワードへ変更いただくようお願いいたします。
本件の専用窓口 フリーダイヤル 0120-772558
開設曜日:土日祝を含む毎日 10:00-20:00
当社といたしましては、今回の事態を厳粛に受け止め、再発防止に向けて不正アクセスの監視強化とセキュリティレベルの更なる向上に努めてまいります。
尚、個人情報保護委員会、JIPDEC(プライバシーマーク認証団体)、JADMA(認定個人情報保護団体)への報告も実施しております。
2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ
氏名
※なお、ダイレクトメール自体の内容の漏えいはありません。
69,403 件(委託元信用金庫が公表した名寄せ後件数合計) ※延べ 77,202 件
イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。
上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでいるほか、特別調査委員会を設置して調査結果の検証等を進めています。
① ランサムウェア侵害に関する再発防止策
- いわゆる「ゼロトラスト」を前提とした体制への移行(VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築)等
② データ保管に関しての再発防止策
- 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理(認証強化)
- 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認
③ 社員の意識に関する再発防止策
- 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施
- 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続
④ 内部統制を管轄する部門の創設
- 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等
当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。
なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。
① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること
② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること
③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること
④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること
今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。
当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。
また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント(CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。
更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。
現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。
日頃よりサイクルベースあさひネット通販サイトをご愛顧いただき、誠にありがとうございます。
2024年9月13日(金)に、弊社ネット通販サイトのご自宅配送に関わる倉庫管理システムを提供する株式会社関通(以下「関通」)から「ランサムウェアによるサイバー攻撃を受けた結果、個人情報漏えいの可能性がある」との報告を受けて以降、お客様には多大なご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。
以下のお知らせにてご案内をいたしておりました「対象のお客様」について、より詳細な限定ができましたため、ご案内申し上げます。対象のお客様には別途メールにてご連絡いたします。
新たに対象が判明したお客様にはご迷惑をおかけしておりますこと、またご案内が遅くなりましたこと深くお詫び申し上げます。
2024.09.18 ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について
ネット通販サイト(公式オンラインストア、楽天市場店、Yahoo!店)でご自宅配送を指定してご注文をいただき、2024年6月26日(水)から9月26日(木)までに「ご注文商品 発送完了のお知らせ」 メールを受け取られたお客様。
※ご注文をキャンセルされた場合も含まれます。
※ネットで注文、お店で受取りサービスは対象外です。
なお、本事案につきまして、株式会社関通より2024年10月21日付で「現時点までにお客様の個人情報が漏えいした事実は確認されなかった」との最終報告を受けております。詳細については以下のお知らせにてご確認いただきますようお願いいたします。
2024.10.23 【更新】ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について
引き続き、弊社ではセキュリティ対策の強化に努め、お客様に安心してご利用いただける環境を整えてまいります。今後ともサイクルベースあさひを何卒よろしくお願い申し上げます。
このたび、公益財団法人 群馬県産業支援機構「よろず支援拠点」のメールアカウントを不正利用し、第三者からの迷惑メールが送信されていたことが判明しました。
つきましては、当機構から不審なメールを受信された方におかれましては、ご注意いただき、リンク先は開かずに速やかに削除してくださいますようお願いいたします。
なお、現時点で本事象による個人情報等の機微情報の流失は確認されておりません。
この度は、多くの方々に大変なご迷惑をおかけしましたことを、深くお詫び申し上げます。
令和 6 年 11 月 12 日(火)18 時 59 分から 22 時 20 分にかけて、当機構内「群馬県よろず支援拠点」職員が利用するメールアカウントが第三者に不正に利用され、このメールアドレスから大量の迷惑メールの送信が行われました。送信された件数は調査中ですが、数千件以上と見込まれております。
当機構内「群馬県よろず支援拠点」ドメイン(@yorozu-gunma.go.jp)
原因は現在精査中ですが、「群馬県よろず支援拠点」事業で利用しているメールアカウント2件に対して、外部から不正侵入が行われ、不正使用されたものであると考えられます。
迷惑メールの送信が行われたことを管理サーバーが検知し、当該アカウントへのアクセスを遮断する等必要な措置を実施しました。
該当ドメインから「内容に心当たりがない」「怪しい」と思われるメールを受信された場合は、ウイルス感染やフィッシングサイトへの誘導などのリスクがあります。
添付ファイルの参照やメール本文中の URL のクリック等を行うことなく、メールを削除していただきますよう、よろしくお願いいたします。
事実関係の詳細が判明次第、セキュリティの安全性について見直しを行い再度徹底致します。
新たにお伝えすべき情報があるときは、当ホームページ上で適宜情報開示を行ってまいります。
なお、「よろず支援拠点」(※)以外の職員が利用するメールカウント(ドメイン名「@ginf.or.jp」)についての不正利用は確認されておりません。
※よろず支援拠点とは、国が全国に設置している無料の経営相談所です。
平素は格別のご高配を賜り厚くお礼申し上げます。
当金庫が業務委託している株式会社東海信金ビジネスの再委託先である株式会社イセトー(以下「イセトー社」)において、ランサムウェア感染により一部お客さま情報が漏えいした件につきまして、7月4日付で当金庫ホームページに公表いたしましたが、その後の調査により詳細が明らかになりましたので、調査結果と再発防止策についてお知らせいたします。
なお、7月4日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客さまにおける二次被害も確認されておりません。
お客さまに多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。
令和6年5月26日にダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年7月1日に当信用金庫の一部のお客さまの個人情報が漏えいしたことが確認されました。
ダイレクトメール作成時に出力されるログデータ
氏名
※なお、ダイレクトメール自体の内容の漏えいはありません。
2,702 件
※詳細調査の結果、7月4日付で公表した件数(2,713 件)から 11 件少なくなっております。
業務委託先である東海信金ビジネスのホームページ内に掲載されております。
大変お手数をおかけしますが、以下のリンクよりご確認ください。
【東海信金ビジネス HP】https://shinkin-tokai.co.jp/news20241115.pdf
【2024年7月4日リリース分】
このたび、本学の研究室サーバが不正アクセスを受けていた事案が確認され、当該サーバに格納されていた個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。
今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。本学では、今回の事態を重く受け止め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めて参ります。
令和6年10月27日(日)に本学の研究室サーバが不正アクセスを受けていた事案が確認され、研究室教員のアカウントが乗っ取られ不正なログインがなされていたことが判明しました。
当該研究室に所属する在学生及び所属していた卒業(修了)生の氏名や住所、電話番号等を含めた個人情報159名分
該当サーバを含む当該研究室のネットワークを停止し、内部調査を実施するとともに、研究室関係者のアカウントのパスワード変更、当該研究室の全てのサーバ及びパソコンのウイルス検査を実施しました。
現在、個人情報が漏洩した可能性がある方に対して、順次報告とお詫びのご連絡を進めているところですが、このことによる被害と思われる事案が発生した場合には、以下担当までご連絡いただくようお願いいたします。なお、これまでのところ外部に個人情報が流失したという情報や第三者に情報が不正に使用されたという事実は確認されておりません。
このたび、本学のメールシステムにおいて、学生1名のメールアカウントが不正アクセスを受け、多量の迷惑メールの送信に悪用されるという事案が発生いたしました。当該利用者のメールアカウントは、事象の認知後、直ちに利用停止の措置を行いました。
本件に関して、迷惑メールを受け取られた皆様には多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。
詳細は以下の通りです。
迷惑メール送信期間:2024年10月1日(火)18:19 ~ 19:00頃
送信メール件数:3,433件
送信先メールアドレス数:19,839アドレス
本学としては、この事態を重く受け止め、メールアカウントやパスワードの厳格な管理、メールアカウント利用者への適切な取り扱いについて周知するとともに、技術的な再発防止システムの導入を検討して参ります。