【セキュリティ事件簿#2024-545】慶應義塾大学病院 個人情報が含まれるPCの盗難事案に対するお詫びとご報告 2024/12/10

 

このたび、慶應義塾大学病院の医師の個人用のパソコン(以下、PCと記載)を入れたバッグが盗難されるという事案が発生いたしました。当該PCには慶應義塾大学病院の患者様と虎の門病院の患者様の個人情報が保存されていました(当該医師は虎の門病院での勤務歴があります)。

対象となられた患者様には、慶應義塾大学病院および虎の門病院より、お電話や文書送付にてご連絡しております。多大なご迷惑とご心配をお掛けいたしましたことを深くお詫び申し上げます。

経緯および対応については以下のとおりです。

詳細な調査に時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。

1.概要

2024年11月上旬、医師がPCを入れたバッグが盗難されました。盗難発覚後、警察に盗難届を提出いたしましたが、12月10日現在、発見にはいたっていません。

PCには患者様の氏名、患者ID、疾患名、手術の内容や手術に至った経緯などの医療個人情報が保存されていました。

PCには起動時のパスワード設定とデータの自動消去設定を行っております。

2.PCに保存されていた情報

慶應義塾大学病院168名(※)、虎の門病院1,002名の患者様の医療個人情報が保存されており、具体的には、氏名、患者ID、年齢、性別、生年月日、手術に至った経過および術中の経過、術者名、疾患名、治療の術式、入院日等の情報が保存されておりました。これらの情報は、診療のカンファレンスや学会の専門医・指導医の申請、研究等での使用のため保存されていましたが、本来であれば個人情報を削除して保存すべきところ、削除しないまま保存されていました。

※対象の皆様へのご連絡の際、171名とお伝えしておりましたが、重複していた方が3名いらっしゃり、正確には168名でした。

3.事態判明後の対応

盗難発覚後、警察に盗難届を提出いたしました。

また、個人情報保護法に基づき、本件について個人情報保護委員会および東京都保健医療局及び大学の所轄官庁である文部科学省に報告いたしました。

あわせて、対象となられた患者様に、慶應義塾大学病院および虎の門病院より、お電話や文書送付にてご連絡しております。

なお、12月10日現在、今回の盗難を原因として、患者様に関する個人情報が不正に使用された事実は確認されておりません。

4.再発防止について

このたびの事態が起こった原因は、個人のPCに患者様の情報を保存したことにあります。個人の電子媒体に医療個人情報を保存すること、医療個人情報や機密性の高い情報が入った媒体を院外に持ち出すことは一切禁止しておりますので、慶應義塾大学病院、虎の門病院ともに徹底してまいります。

両院において、医療個人情報の保護に関する規程を定めており、定期的な研修を実施するなど、個人情報の適切な管理に努めてまいりましたが、このたびの事案により、患者様に多大なご迷惑とご心配をおかけいたしましたこと深くお詫び申し上げます。

今後、病院職員一同、個人情報の管理と運営に関する意識をより一層高め、再発防止に全力を尽くしてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-460】株式会社サイゼリヤ 不正アクセスによる個人情報漏えいのお詫びとご報告 2024/12/10 


株式会社サイゼリヤ(以下「当社」といいます)は、当社のサーバーへの第三者による不正
アクセスにより、当社が保有する個人情報の一部が漏えいしたことをお知らせいたします。関
係者の皆様に大変なご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

1.概要

当社のいくつかのサーバーにおいて 2024 年 10 月 5 日以降システム障害が発生し、一部のサービスが停止しました。この原因について、外部の情報セキュリティ対策企業へ調査を依頼したところ、2024 年 10 月 13 日に、当社と無関係な第三者からの不正アクセス(いわゆるランサムウェア攻撃)を受けた事実が確認されました。

2.原因

当社の一部サーバーがマルウェアに感染したことで、第三者が不正にアクセスできたものと
考えられます。

3. 漏えい等が発生し、または発生した恐れがある個人情報

・お取引先企業様他関係者様に関する「氏名、住所、メールアドレス、電話番号」等の情報
対象となる件数:2,234 件

なお、当社をご利用になったお客様に関する個人情報は漏えいしておりません

・従業員、元従業員及びそのご家族に関する方の「氏名、住所、生年月日、電話番号、メールアドレス」等の情報

対象となる件数:58,853 件

4.二次被害の有無

現在、不正利用等による二次被害に関する報告は受けておりませんが、不審な連絡等には十分にご注意くださいますようお願い申し上げます。

5.その他参考となる事項(当社の対応について)

当社は、外部の情報セキュリティ対策企業の支援を受けながら、漏えいした可能性がある当社の個人情報等及びその他の情報、影響範囲等を特定するための調査を実施しておりました。

その結果、当社が保有する個人情報の一部漏えいが判明したことを受け、個人情報保護委員会に報告するとともに、警察への相談を行っております。

また、外部の情報セキュリティ対策企業に相談・依頼して本件に係る更なる内部調査と原因分析、対応策の検討を継続しております。さらに、法律事務所に相談の上、当局への対応を含めた法的対応・措置を検討しております。

このような事態を大変重く受け止めており、多大なるご迷惑、ご心配をお掛けしておりますことを、重ねてお詫び申し上げます。

リリース文アーカイブ

【2024年10月16日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-544】郡⼭市 「Out of KidZania in こおりやま 2024 事業」 における再委託先事業者のサーバーへの不正ア クセスについて  2024/12/9

 

「Out of KidZania in こおりやま 2024 事業」(※)において、運営業務を委託している株式会社東北博報堂福島支社(以下「東北博報堂」という。)の再委託先である、株式会社エクシードコネクト(以下「エクシードコネクト」という。)のサーバーがランサムウェアの被害を受けたことに伴い、エクシードコネクトがサーバー内を調査した結果、本事業に係る個人情報が保管されていたことが判明しました。 

1 判明した経緯

11 月 28 日(木)エクシードコネクトが自社サーバーへの不正アクセスを覚知外部専門機関による調査によりランサムウェアの被害を確認

11 月 29 日(金)から随時エクシードコネクト及び外部専門機関による情報確認、方向性確認作業

12 月 2日(月)エクシードコネクトから本事案について東北博報堂に報告

12 月 3日(火)エクシードコネクトから本事案について個人情報保護委員会に報告

12 月 4日(水)個人情報保護委員会から本事案についてエクシードコネクトに指導の連絡

12 月 5日(木)東北博報堂から本事案について本市に報告 

2 サーバー内に保管されていた情報

「Out of KidZania in こおりやま 2024 事業」参加申込者の情報:1,513 件(参加申込者氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス)

 ※クレジットカード情報は含まれておりません。

3 対応状況

エクシードコネクトにおいて、不正アクセスを確認後、対象サーバーのネットワークへの外部からの経路は速やかに遮断し、それ以降、外部からアクセスできないよう対策を講じたとのことであり、現在、外部の専門機関の協力を得て調査を進めているところです。

12 月9日(月)正午時点で、外部への情報流出の痕跡や情報が不正利用された事実は確認されておりません。

リストに掲載されている皆様には、本日 12 月9日(月)に、事案の報告及びお詫びの文書を発送しました。

4 今後の対応

委託事業者から引き続き状況報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。改めて判明した事実は、市ウェブサイトなどでお知らせします。

なお、本業務のうち個人情報の管理業務につきましては、再委託先事業者を変更するなど管理体制を見直し、情報セキュリティの更なる安全性の確保を図っていきます。 

リリース文アーカイブ

【セキュリティ事件簿#2024-543】株式会社イーエックスディー ランサムウェア被害の発生について 2024/12/3

 

このたび、当社の委託先である(株)イーエックスディーにおいて一部サーバーが暗号化されるランサムウェア被害が発生したことをお知らせします。本件について、委託先では現在対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について下記の通りご報告いたします。

お取引先様、お客様、関係先の皆様に多大なるご心配とご迷惑をお掛けすることとなり深くお詫び申し上げます。

1.経緯

日本時間11月28日(木)早朝に、委託先(株)イーエックスディーのサーバーが暗号化されるランサムウェアによる被害が発生していることを確認しました。直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく対策本部を立ち上げました。

2.現在の状況と今後の対応

今回の被害に対応するため委託先のサーバーはネットワークから切り離しました。

現時点で、本件に起因する個人情報等の二次被害に関する報告は受けておりませんが、情報流出につきましては委託先において現在調査中です。引き続き、外部専門家と連携の上、システムの保護と復旧に向けて進めております。

不正アクセス防止を防止するための措置を講じるとともに今後も委託先の監督を継続的に強化してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-542】株式会社三恵 弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ 2024/12/9

 

このたび、弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」(https://www.brassiere-shorts.jp)の旧サイト(既に閉鎖済み。以下「旧サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(71,943 件)を含む個人情報(292,707 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024 年 6 月 26 日、一部のクレジットカード会社から、旧サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。

弊社の現サイトは上記連絡を受ける以前の 2024 年 5 月 15 日に新システムへ移行しておりましたが、あらゆる可能性を考慮に入れて、2024 年 7 月 16 日、現サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2024 年 9 月 24 日、調査機関による調査が完了し、2019 年 12 月 27 日~2024 年 5 月 15 日の期間に旧サイトで商品を購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また 2024 年 5 月 15 日までに旧サイトにおいて登録されたお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社では、クレジットカード情報を保有しておりませんでしたが、旧サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報等漏えいの可能性があるお客様

2019 年 12 月 27 日~2024 年 5 月 15 日の期間中に旧サイトにおいてクレジットカード決済をされたお客様 71,943 名につきまして、以下の情報が漏洩した可能性がございます。

なお、弊社の店舗及び旧サイト以外の通販サイトで弊社の商品を購入されたお客様は対象外となります。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・メールアドレス

・郵便番号

・電話番号

(3)個人情報のみ漏洩の可能性があるお客様

2024 年 5 月 15 日までに旧サイトをご利用されたお客様 292,707 名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・生年月日(任意入力項目)

・性別(任意入力項目)

・住所

・電話番号

・メールアドレス

・旧サイトのログインパスワード(暗号化済み)

・注文情報

上記(2)及び(3)に該当するお客様につきましては、別途、電子メールに個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にてご連絡させていただきます。

3.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記 2.(2)に該当するお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)他のサイトにおけるログイン ID・パスワード変更のお願い

旧サイトのログインパスワードが漏洩対象となるお客様におかれましては、他のサイトで旧サイトと同一の値のログイン ID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてログイン ID・パスワード変更のお手続をしていただきますようお願い申し上げます。

(3)不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

なお、不正アクセスがあった旧サイトは、既に閉鎖しており、新たな情報漏洩は発生しない状況にあります。現サイトは、2024 年 5 月 15 日以降、旧サイトとは独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運用しております。

現サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWeb サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 7 月 1 日に報告済みであり、また、警視庁にも 2024 年 6 月 28 日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-541】栗田工業株式会社 当社海外連結子会社におけるセキュリティインシデントの発生について 2024/12/7

 

このたび、栗田工業株式会社(本社:東京都中野区、社長:江尻 裕彦、以下「当社」)の北米における連結子会社であるクリタ・アメリカInc.(本社:米国ミネソタ州、以下「KAI社」)において、複数のサーバーが不正アクセスを受け、ランサムウェアに感染したことが判明しましたのでお知らせします。

お客様、お取引先様には多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

現時点で判明している内容(概要)は、以下の通りです。

1.経緯

2024年11月29日(金)15時頃、KAI社のセキュリティ監視システムにてアラートを検知し、外部専門機関も交えた調査を実施した結果、複数のサーバーがランサムウェアに感染し、それらのサーバーが暗号化されたことを確認したため、対象のサーバーをただちにネットワークから遮断し、被害の拡大防止を実施しました。

2.漏洩の可能性のある情報

本不正アクセスにより、KAI社のサーバーに保管されていた一部のお客様、お取引先様および従業員の情報が、第三者に漏洩した可能性があります。

3.現状および今後の対応

現在、既に主要なサーバーは復旧済であり業務に支障はきたしておりません。今後、引き続き外部専門家の助言を受けながら原因および詳細な調査を進めていくとともに、事態の収束に努めていきます。

今回の事象を受け、被害拡大の防止に努めるとともに、クリタグループ全体におけるより一層の情報セキュリティ対策の強化に取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-471】KCJ GROUP 株式会社 不正アクセス発生による一部のお客様の個人情報流出に関するお詫びと調査結果のご報告 2024/12/6

 

弊社が運営するキッザニアの Web サイトへの外部第三者による不正アクセスがあり、個人情報流出のおそれがあることを、2024 年 10 月 22 日に「不正アクセス発生による一部のお客様の個人情報流出のおそれのお知らせとお詫びについて」として発表いたしました(https://www.kidzania.jp/corporate/common/pdf/241022_release.pdf)。

この度、外部専門機関の協力も得ながら詳細調査を実施した結果、2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報 24,644 件が流出したことが判明したため、下記の通りご報告いたします。

お客様および関係する皆様に多大なるご迷惑とご心配をおかけすることを心より深くお詫び申し上げます。

なお、調査結果をふまえ、対象となったお客様には、本日より、電子メールまたは電話にてお詫びとお知らせを個別にご連絡差し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様および関係する皆様には重ねてお詫び申し上げます。

1.経緯

2024 年 10 月 16 日に、弊社が運営する Web サイトへの不正アクセスを検知し、防御措置を行っておりましたが、10 月 17 日に個人情報流出のおそれがあることが判明し、同日に情報流出の遮断措置を実施いたしました。本件は第一報として 10 月 22 日にプレスリリースを発表いたしました。その後、外部専門機関の協力を得て不正アクセスによる影響範囲を調査し、流出した対象者の確定を完了し、本日の発表に至りました。

なお、弊社は今回の不正アクセスにつきまして、個人情報保護委員会への報告と所轄警察署への届け出を完了しております。

2.個人情報流出状況

(1)原因

弊社が運営するキッザニアの Web サイトのプログラムの一部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因です。当該箇所は既に修正し、セキュリティ対策は完了しております。

(2)本事案の対象となった個人情報

2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報(内容は以下の通り)24,644 件です。

・氏名
・メールアドレス
・電話番号
・住所

なお、予約時にご利用されたクレジットカード情報や、お子様含め予約者以外の個人情報の流出はございません。キッザニア甲子園、キッザニア福岡への来場予約時に登録された情報の流出もございません。

また、現在まで個人情報の公開や不正使用などの二次被害の発生は確認されておりません。

3.お客様への対応について

 本事案の対象となるお客様には、キッザニア東京の予約サイトにご登録いただいたメールアドレスまたは電話番号宛に、本日から順次個別にご連絡を差し上げます。該当されないお客様への個別のご連絡は行いませんので、あらかじめご了承ください。

4.再発防止にむけて

弊社は、今回の事態を重く受け止め、今後同様の事象が発生しないよう、システム全体に改めて外部専門機関による脆弱性調査の上、必要な対策を実施済みですが、今後も更に強固なセキュリティの構築を図ってまいります。

【2024年10月22日リリース分】

【セキュリティ事件簿#2024-540】株式会社伊藤園 弊社グループ会社におけるランサムウェア被害の発生について 2024/12/6

 

平素は弊社製品をご愛顧賜り厚く御礼申し上げます。

このたび、弊社海外グループ会社であるITO EN (North America) INC.(以下:北米伊藤園)において、一部のサーバーが第三者による不正アクセス(ランサムウェア攻撃)を受けたことを確認しました。外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。

被害の全容把握にはしばらく時間を要する見込みですが、現時点において北米伊藤園以外の被害はないことを確認しています。

お客様やお取引先をはじめとする関係者の皆様には多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

1. 経緯

・ 12月2日午前(米国:テキサス州 現地時間)に、北米伊藤園のファイルサーバーが暗号化されるランサムウェアによる被害が発生していることを確認しました。直ちに専門家の協力のもと調査を開始しています。

2. 現在の状況と今後の対応

・今回の被害は、基幹システムとは別の独立した、一部のファイルサーバーになります。当該ファイルサーバーをネットワークから切り離した上で、攻撃前のバックアップデータにて現在は復旧をしております。よって、北米伊藤園を含む全てのシステムは通常通り稼働しています。尚、情報流出につきましては現在調査中です。現在、外部専門家と連携の上、システムの保護に向けて作業を進め、引き続き皆様へのご迷惑を最小限に留めるべく取組んでまいります。

リリース文アーカイブ