【セキュリティ事件簿#2024-538】大阪公立大学医学部附属病院 個人情報の漏洩のお詫びとお知らせ 2024/12/3

 

当院において、患者さまの個人情報が漏洩する事案が発生しました。

現時点で本事案による被害等は確認されていませんが、当該患者さまに対し、ご心配、ご迷惑をおかけしたことを改めてお詫びするとともに、改めて個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。

1 概要

当院と当院の医療連携登録医(以下、登録医)との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク(以下、同ネットワーク)にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった。

2 経緯および対応等

⚫ 2024 年 11 月 28 日(木)17:30 ごろ

当院職員が本事案を発見し、直ちにシステム委託業者へ状況の確認・調査を依頼する。

⚫ 2024 年 11 月 29 日(金)9:00

患者一覧の非表示設定を行い、本事象を改善する。原因の調査を引き続きシステム委託業者へ依頼する。

3 原因

 地域医療患者一覧表示マスターの誤設定

4 該当患者数、個人情報および閲覧可能者の範囲

⚫ 該当患者

618 名分(同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま)

⚫ 閲覧可能な状態にあった情報

「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」

⚫ 閲覧可能者の範囲

閲覧可能な医師: 125 施設 154 名

5 再発防止策

⚫ システム設定変更の際には必ずマスター登録シートに基づき、チーム内でリスクや影響を確認して作業に着手することの徹底

⚫ 設定変更後は権限設定状況に応じた動作確認および作業完了承認の徹底

⚫ 個人情報保護研修、情報セキュリティ研修において適切な個人情報の取扱に関する認識の徹底

Labels: ,

【セキュリティ事件簿#2024-537】京都大学経営管理大学院メールサーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2024/12/5

 

京都大学経営管理大学院において運用・管理するメールサーバーが第三者による不正アクセスを受け、サーバーに保管されていたアカウントおよびメールアドレスが窃取された可能性があることが判明いたしました。

窃取された可能性のあるアカウント152件は、経営管理大学院で運用していた@gsm.kyoto-u.ac.jp のメールサーバーのアカウントとなります。パスワードファイルに記載のアカウント名(メールアドレス)、暗号化されていたパスワード、氏名(ローマ字)の情報が窃取された可能性があります。

また、@gsm.kyoto-u.ac.jp以外のメールアドレスの114件は、本メールサーバーで運用していたメーリングリストに記載されていたメールアドレスとなります。これらに関しては、全ての方々について、氏名・住所・電話番号・パスワードなどの個人情報は保管されておらず、窃取されていないことを確認しております。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。

アカウント情報およびメールアドレス情報を有しておられた方々には個別に連絡をさしあげておりますが、すでに退職・異動された方や学外者を含め、ご連絡が取れない方がおられます。

つきましては、以下の条件に心当たりのある方は、以下の問い合わせ先にご連絡頂きますようお願いいたします。

・京都大学経営管理大学院のメールアドレスを有していた方(@gsm.kyoto-u.ac.jpのメールアドレスを利用されていた方)

・京都大学経営管理大学院と関係するメーリングリストに登録されていた方

京都大学経営管理大学院としましては、今回の事態を重く受け止め、再発防止のためのセキュリティ強化に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-536】井関農機株式会社 当社グループ会社におけるランサムウェア被害の発生について 2024/12/5

 

この度、井関農機株式会社 (以下「当社」) のグループ会社である株式会社ヰセキ北海道(以下「ヰセキ北海道」) において、一部のサーバーが第三者による不正アクセス (ランサムウェア攻撃) を受けたことを確認いたしました。

現在、 外部専門家の助言を受けながら、 影響の範囲などの調査と復旧への対応を進めており ます。 被害の全容を把掘するには、今しばらく時間を要する見込みですが、 現時点で判明している内容について、下記の通りご報告いたします。

お客さまやお取引先をはじめとする関係者の皆さまにご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

1. 経緯

・11 月 27 日(水)朝、ヰセキ北海道の一部のサーバー内の電子データが暗号化されるランサムウェアによる被害が発生していることを確認しました。

2. 現在の状況と今後の対応

・ヰセキ北海道の社内ネットワークを、 当社グループの基幹システムから一時的に切り離しております。

・不正アクセスを受けたサーバーから情報が漏洩した可能性があるため、外部専門家の協力のもと、調査を続けております。なお、個人情報保護委員会への報告、警察などの関係機関への報告及び相談はすでに行っております。

・当社の基幹システムやヰセキ北海道以外のグループ会社のネットワークに対する不正アクセスは確認されておりませんが、本件の早期復旧への対応を進めると同時に、当社グループ全体における情報セキュリティ体制の強化を図り、今後の再発防止に向けた予防措置を講じてまいります。

・今後お知らせすべき新たな事実が判明した場合は、速やかにお知らせいたします。

・本件における今期業績に及ぼす影響については現在精査中です。 開示が必要な場合は速やかにお知らせいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-535】RIZAP株式会社 情報漏えいの可能性に関するお詫びとお知らせ 2024/11/29

 

10月31日に公表させていただきました「情報漏えいの可能性に関するお知らせ」の件、その後の調査により本日時点までに判明している事項につき、お知らせいたします。

本件はデータ取扱いのルール説明および運用の徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、当該クラウドサービスの利用ルールを明確化し、外部からの不要なアクセスが発生しない環境を整備しました。現在、当社で利用しているその他のクラウド環境についても、設定調査および継続的に設定状況を監視する仕組みの導入を計画しており、近日中の稼働を予定しております。また、データ取扱いのルール説明・徹底について、再度社内への周知を実施し、従業員への教育を徹底することで再発防止に取り組んでおります。

この度は、お客様ならびに関係者の皆様には大変なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。

本件判明後現時点まで、不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。また、詳細な調査を行った結果、本事案の対象データには要配慮個人情報やクレジットカード情報等は含まれていない事が確認できております。

今回の事項は以下の通りです。

1. 概要

当社が利用するクラウドサービス上で作成したお客様情報を含む一部のファイルが、アクセス権限の設定誤りにより、アクセス権限を持たない第三者が閲覧可能な状態にあったことが、2024 年 10 月 16 日に従業員により判明しました。

2.情報漏えいしたおそれのある項目と件数

<項目>

メールアドレス、氏名、生年月日、性別、住所、電話番号、会員番号など

※漏えいしたおそれのあるデータには、上記すべての項目ではなく、その一部が含まれている状態です。

<件数及び項目>

計365,461名

・内、メールアドレス、管理番号         : 162,768名

・内、管理番号のみ               : 82,867名

・内、メールアドレス、管理番号、性別、契約プラン: 60,654名

・その他                    : 59,172名

※要配慮個人情報やクレジットカード情報等は含まれていないことが確認できております。

※本件判明後現時点まで、これらの情報の不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。

<アクセス権限を持たない第三者がアクセスできる状態にあった期間>     

2022年1月24日~2024年10月25日 

※対象のデータによって閲覧可能期間は異なります。

※上記のお客様情報は、会員データベースから一時的に抽出したファイルデータであり、上記期間に継続して保管・蓄積していたものではありません。

3.今後の対応について

上記のお客様情報が漏えいしたおそれのある方で、ご連絡先が把握できた皆様には 、本日より順次、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のお問合せ窓口を設置いたします。

このたびは、お客様ならびに関係者の皆様に大変なご迷惑とご心配をおかけしましたことを、改めて心よりお詫び申し上げます。皆様に安心してご利用いただけるサービス運営を目指し、全社を挙げて取り組んでまいります。

リリース文アーカイブ

Labels: ,

【セキュリティ事件簿#2024-534】東京経済大学 不正アクセスによる迷惑メール送信のお詫び 2024/12/4

 

この度、本学事務職員のメールアカウントが学外より不正にアクセスを受け、学外者向けに大量の迷惑メールが送信されるという事案が発生しました。

今回、このような事案が発生し、関係者の皆様に多大なご迷惑をおかけすることになり、深くお詫び申し上げます。以下にその内容を報告させていただきます。

なお、今回の大量の迷惑メールの送信による個人情報、機密情報の漏洩は確認されておりません。また、本事案については文部科学省へも既に報告しております。

◆経緯

2024年11月30日AM04:39頃より、本学職員のメールアドレス(2アドレス)から計15.6万通※もの大量の迷惑メールが発信されました。※送信メール件数ではなく宛先の総通数。

◆原因

当該メールアカウントに設定されていたパスワード情報が、学外の第三者により不正に窃取され、送信の踏み台とされたため。なお、当該メールアカウントは管理者にて強制的にパスワードを変更。その後大量メールが止まったことを確認済みです。

◆調査、対応

当該メールアドレス及びメールシステムについて調査しました結果、個人情報、機密情報の漏洩は認められませんでした。また、本学の主要システムにおきましても、侵入された形跡は見られませんでした。

また、本学全事務職員に対し、脆弱なパスワード(文字数が少ない、類推しやすい文字列等)の場合、至急変更を行うよう指示をしております。

現在、WEBメールシステムは学外からの直接アクセスを遮断しております。(今後、必要なセキュリティ対策を講じた上で、制限を解除する予定)

この度は、ご関係の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。今後、このような事態が二度と起こらないよう、より一層セキュリティの管理、対策の徹底を図り、再発防止を講じて参ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-533】ユアサ商事株式会社 海外グループ会社サーバへの不正アクセスの発生について 2024/12/5

 

ユアサ商事株式会社(東京都千代田区 代表取締役社長:田村 博之)は、当社のメキシコ合衆国のグループ会社である YUASA SHOJI MEXICO,S.A.DE C.V(. 以下 YUASA MEXICO)において同社のサーバが第三者による不正アクセスを受けたことを 11 月 27 日(AM6:00)(現地時間)に確認いたしましたので、お知らせいたします。

YUASA MEXICO では、不正アクセスの確認後、速やかに外部からのアクセスを制限するなど必要な対策を講じるとともに、関係当局への報告を行っています。

また、現在、外部専門家の協力を得て、原因および影響範囲の調査を進めるとともに、事業活動に対する障害への対処などを行っております。

なお、今回の不正アクセスは YUASA MEXICO のサーバにとどまり、当社を含む他の当社グループのサーバやネットワークへの影響がないことを確認しています。

関係する皆さまに多大なるご迷惑とご心配をおかけしていることを、深くお詫び申し上げます。今後、再発防止等を含め、セキュリティの強化に全力で取り組んでまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-532】Denis Japanグループ 当社外のステークホルダーの皆様および退職された従業員の皆様の個人情報への不正アクセスの可能性に関するお知らせとお詫び 2024/12/4

 

平素はDenis Japanグループ(Denis Japan㈱、セティ㈱、日仏貿易㈱、DENISファーマ㈱、ユニオンリカーズ㈱)をご愛顧いただき誠にありがとうございます。このたび、表題の件に関しまして、ご迷惑とご心配をおかけしておりますことに深くお詫びを申し上げます。

既にご報告させて頂きましたとおり、2024年1月16日、当社グループが管理するネットワークが、第三者により不正にアクセスされたことを確認しました。外部専門家の協力を得て調査を行った結果、グループの一部のサーバー内の情報が侵害され、ランサムウェアによって暗号化され、アプリケーションやファイルサーバー内のデータがアクセス不可能になったことが判明しております。第三者による不正アクセスを受けたことを確認後、速やかに対象機器を影響を受けていない部分から遮断するなど、各種セキュリティ対策を行いました。また、関係当局と被害の拡大防止に向けた連携を随時行って参りました。

外部専門家の報告によりますと、外部への情報漏えいについては確認されておりません。しかしながら、不正アクセスを受けた際に、攻撃者にデータを閲覧された可能性の否定はできません。

そのような状況の中、当社外のステークホルダーの方々についての以下の個人データも影響を受けた可能性があることが判明いたしました。

•ビジネス関連の情報(電話番号、メールアドレス、所属組織、所属部門、取引内容など)


また、退職された従業員の方々についての以下の個人データも影響を受けた可能性があることが判明いたしました。

•人事関連情報(氏名、生年月日、住所、性別、電話番号、メールアドレス、顔写真、資格・免許、社会保険関連番号、税金等控除、ご家族の情報(氏名、生年月日、続柄、世帯主、職業、収入、心身障害))

•雇用者として保有する身体・健康情報(健康診断の結果、心身障害、出産・育児、診療・病歴など医療情報)

•ビジネス関連の情報(従業員番号、入社年月日、勤務場所、職位、所属、勤務形態、勤務状況)

•賃金関係情報(給与、賞与、手当、退職金、その他福利厚生、支払口座、税金関連情報)、人事・勤務評価、研修履歴


皆様の個人データに影響が及んでいる可能性があることについて、深くお詫び申し上げます。

なお、現時点で皆様に二次被害が生じた事実については把握しておりません。

会社としては、第三者による不正アクセスを受けたことを確認後、新たに複数のセキュリティ対策を講じております。

本事案に関して今後お知らせすべき事項が発生した場合には、ウェブサイトにて随時お知らせいたします。

不明な点、質問がある場合は、以下の問い合わせ窓口までご連絡ください。不正アクセスにより皆様のデータに影響が及んでいる可能性があることについて、あらためてお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-531】近畿大学 個人情報の流出について 2024/12/3

 

このたび、Googleフォームの設定ミスによる個人情報の流出が発生しました。

該当する学生、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

1.経緯

令和6年(2024年)11月15日(金)18時50分頃、入試運営業務に従事する学生158人に、アルバイトに関する情報登録フォームのURLを送付し、入力を依頼したところ、同日19時30分頃、学生から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました。20時00分頃、閲覧できないように設定を変更しましたが、この間、すでに登録済みの14人について個人情報が閲覧できる状態にありました。情報を見ることができたのは登録済みの14人のみであり、本日までに本件による被害の報告はありません。

2.流出した情報

対象者:フォームに情報を登録したアルバイト学生14人

内 容:氏名、学部・学科、学年、学籍番号、住所、電話番号、メールアドレス、口座情報、生年月日

3.対応

該当する学生には、11月17日(日)までに状況報告し、お詫びしました。また、不審な電話やメールなどがあった場合は、速やかに大学に連絡するよう伝えました。

4.今後の防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

①Googleフォームを使用する場合は複数名で動作確認を行い、登録テストを実施してから公開するように徹底する。

②教職員の情報セキュリティ研修の受講を徹底する。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)