【セキュリティ事件簿#2025-258】東北電力ネットワーク株式会社 当社システムにおけるお客さま情報の管理不備に関するお知らせとお詫びについて 2025/6/11


当社は、東北電力株式会社(以下、「東北電力」)と共同利用し、当社が管理している顧客情報管理システム(以下、「システム」)の一画面において、本来、非表示として取り扱うべきお客さま情報※(以下、「当該情報」)について、東北電力のシステム利用者が閲覧可能な状態にあることを、同社からの連絡により確認いたしました。

 原因は、システムのプログラム設計誤りによるものです。

当該情報が表示された画面は、新設工事申込の工程管理を行う画面であり、新設(東北電力と需給契約)工事完了後、短期間で契約者および契約先(東北電力以外の小売電気事業者と需給契約)が変更されたケースにおいて、東北電力が新設時のお客さま情報を閲覧しようとした際に、一定の期間に限り、変更後のお客さま情報が表示される状態になっていたものです。

表示された情報は「お客さま名」「住所」等であり、電話番号や小売電気事業者情報は含まれておりません。

当社では、速やかにシステム上の対策措置を実施し、閲覧可能な状態を解消するとともに、システムの当該画面以外で同様の事象が発生していないことを確認いたしました。

なお、本システムは当社と東北電力のみが利用するものであり、東北電力以外へのお客さま情報の漏えいは発生しておりません。

あわせて、過去のアクセス履歴を調査した結果、東北電力のシステム利用者による769件の当該画面の閲覧がありましたが、いずれも業務の適正な処理を目的として行われたものであり、閲覧した情報をもとにした営業活動等の不適切な取り扱いはなかったことを東北電力に確認しております。

漏えいが確認されましたお客さまには、今後当社から個別にお知らせを行ってまいります。

お客さまにご心配をおかけすることとなり、深くお詫び申し上げます。

当社といたしましては、改めてお客さま情報の適切な管理の徹底を図るとともに、再発防止に努めてまいります。

※ 小売電気事業者間の公正な競争の観点から、東北電力以外の小売電気事業者と契約しているお客さまの情報については、東北電力が閲覧できないよう情報遮断措置を講じております。

 リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-257】株式会社毎日新聞社 毎日新聞デジタルへの不正ログインの発生について 2025/7/11

 

このたび、毎日新聞社が運営する「毎日新聞デジタル」に何者かが何らかの手段で不正に入手したログインID(メールアドレス)とパスワードの情報を用いて不正ログインを行ったとみられる事案を確認しました。速やかに外部からのアクセスを制限する対策を講じ、外部の専門家と協力して原因分析などを進めております。

これまでのところ、弊社サイトから個人情報が流出した可能性は低いと考えております。この件でご迷惑とご心配をおかけしておりますことを、深くおわびいたします。

1、現時点で判明している事案の概要

10日午前、毎日新聞デジタルへのログイン情報を識別するシステムに対する不審なアクセスを検知しました。調査したところ、今月8日以降、ログインを試みる大量のアクセスがあったことが判明しました。10日夜に外部からのアクセスを制限する対策を講じるまで、3日間で約2万件のIDでログインがあり、この中に第三者による不正ログインが含まれているとみて確認しています。

この期間中、会員アカウントの個人情報ページに不正なアクセスの形跡がなかったことから、弊社サイトから個人情報が流出した可能性は低いと考えておりますが、さらに調査しております。個人情報ページには、住所、氏名、電話番号、性別、生年月日、支払い方法が記載されています。クレジットカード情報は別のシステムで管理しており、漏えいはありません。

ログインを試みたメールアドレスには毎日新聞デジタルに登録がないものも大量に含まれており、IDとパスワードが弊社から流出した可能性は低いと考えております。

今後、外部のセキュリティーの専門家と協力し、原因究明や被害状況の確認、再発防止策の策定などを進めます。

2、会員の皆さまへパスワード再設定のお願い

安全を考慮し、8日から10日にログインが確認されたIDの会員アカウントで、パスワードを無効化させていただきました。当該アカウントの会員の皆さまには、パスワードの再設定をお願いするメールをお送りしておりますので、ご対応をお願いいたします。

また、不正ログインがなく、弊社からのメールを受信していない方も、ご不安な場合はパスワードの再設定をお願いいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-256】株式会社審調社 不正アクセスに関するご報告とお詫び 2025/7/11

 

この度、2025年6月27日に弊社の一部サーバーが第三者により不正アクセスされ、同サーバー内に保存されていたファイルが暗号化されるランサムウェア被害が発生したことをお知らせいたします。

弊社では、ランサムウェア被害の事実を認識した直後より、本件対策本部を設置の上、セキュリティ専門調査会社などの外部専門家の助言のもと、被害の全容把握、被害拡大防止、復旧対応および調査を進めております。また、警察への被害申告・相談を行っております。

本件の原因および漏えいしたおそれのある情報については現時点で調査中となります。被害の全容を把握するには、今しばらく時間を要する見込みですが、新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいります。

お取引先様をはじめ、多くの関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

引き続き対応中ではございますが、第一報としてご報告とお詫びを申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-255】茨城県 医療大学におけるメール誤送信によるメールアドレスの漏えいについて 2025/6/23

医療大学において、認定看護師教育課程の令和8年度受講希望者向け説明会参加者に、アンケートの協力依頼をメールで送付する際に、誤送信により個人のメールアドレスが漏えいする事案が発生しました。

情報漏えいの対象者に対して、また、県民の皆様の信頼を損ねる事案を起こしてしまったことについて深くお詫び申し上げますとともに、同様の事案が発生しないよう、再発防止に努めてまいります。

1 事案の概要

(1)経緯

6月 21 日(土)

 認定看護師教育課程の令和8年度受講希望者向け説明会を開催

(参加者:外部の看護師等 61 名)

6月 23 日(月) 

所属において、説明会参加者に対するアンケートの協力依頼のメールを送付することとなっていたが、担当職員が体調不良により急遽不在となったため、別の職員が代理で対応。その際、全員の宛先を「Bcc」でなく誤って「To」で送信

同日 対応した職員とは別の職員が誤送信に気づき事案が発覚

(2)漏えいした情報

個人のメールアドレス 61 件

2 原因

メール送信時に、複数職員による宛先の確認を怠ったため。

3 発覚後の対応

発覚当日に、対象者に謝罪するとともに、送信したメールの削除を依頼

4 再発防止策

・メール送信前の複数職員による宛先の確認を徹底する。

・所属職員に対し、改めて、情報セキュリティポリシーの遵守について周知徹底する。

・メール送信は原則的に担当者が行うものとし、緊急でなければ代理送信は行わないものとする。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-254】秋田大学 個人情報が記録されたUSBメモリの紛失について 2025/5/30

 

1.概要

本学医学部附属病院において,業務で使用していた個人情報が記録された USB メモリの紛失が判明しました。当該部署において,最後に USB メモリを使用したのは令和 7 年 2 月 25 日(火)であり,使用後は所定の保管場所に戻し,その後は同部署にて保管しておりましたが,3 月 10 日(月)に紛失に気付いたものです。以後捜索を続けておりますが,現時点では見つかっておりません。

USB メモリは当該部署内でのみ使用しており,また,部署外に持ち出すこともないことから,院内で紛失した可能性が高いと考えております。USB メモリに保存されていたデータファイルにはパスワードが設定されており,本日現在,本件によって個人情報が第三者に流出したという情報や不正に利用されたという事実は,確認しておりません。

2.紛失した個人情報

紛失した USB メモリには,本院で平成 15 年 2 月以降に発生した職員の「針刺し・切創」及び「皮膚・粘膜曝露」の発生状況等に関する以下のデータが保存されております。

(1)針刺し等に関係した患者様 481 名の氏名,カルテ番号,ウイルス検査の結果

(2)受傷した本院職員等延べ 941 名の氏名,フリガナ,職員番号,カルテ番号,性別,年齢等

※「針刺し・切創」とは医療従事者が業務中に,使用済みの注射針などの患者様の血液等が付着した器具を誤って自分の皮膚に刺すなどによって外傷を負った場合,「皮膚・粘膜曝露」とは患者様の血液等が医療従事者の目などの粘膜や損傷のあった皮膚に付着した場合をいいます。

本院では,「針刺し・切創」や「皮膚・粘膜曝露」が発生した場合は,職員の感染予防のため,患者様の同意を得た上で,採血により針刺し等に関係した患者様のウイルス検査を行っております。

3.対象となった患者様及び本院職員等には,文書で本件紛失の御連絡と謝罪を行いました。

4.再発防止に向けた取り組み

今回の事態を重く受け止め,業務で取り扱う個人情報の管理を厳重に行うほか,USB メモリ等の外部記憶媒体の管理に関するルールの周知徹底を行います。また,全職員に対して定期的に個人情報保護に関する研修を行うなど,個人情報の保護対策を一層強化します。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-253】一般財団法人日本自動車研究所 認証センター お客様情報の漏洩可能性に関するお詫びとお知らせ 2025/6/3

 

平素よりお世話になっております。この度、弊センターが業務委託している外部の審査員が、2025年4月11日、10社分の審査情報を保管しているPCの利用中に、いわゆるサポート詐欺の被害に遭う事態が発生しました。その後の専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。今回、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、再発防止に努めてまいります。詳細は以下の通りです。

■事案の概要

弊センターが業務委託している外部の審査員が、2025年4月11日、トロイの木馬への感染を装った、いわゆる、サポート詐欺の被害に遭い、偽の警告画面に記載されたサポート窓口に電話をし、遠隔操作ソフトをダウンロード・インストールさせられた結果、第三者に当該 PC へのリモート接続を許すことになりました。当該PCには、審査情報(一部の事業者10社様の過去3年度分の審査計画書、審査報告書など)が、含まれておりました。

JARIは審査員には、JARI-RBから情報セキュリティ対策を求めており、この中で、審査が終了した案件に関するお客様の情報は全て消去し個人で保有しないことを求めておりましたが、当該審査員は、終了した審査情報のうち一部の情報を消去しておりませんでした。このためパソコンが乗っ取られた間に、審査中の情報に加え、過去の情報も含め、抜き取られた、もしくは閲覧された可能性がございました。

被害について審査員から速やかに警察に相談するとともに、JARIから個人情報保護委員会に報告しております。

■フォレンジック調査の結果

約1か月による専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。

■お詫び及び再発防止措置

今回このような事態が発生し、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、JARIでは本事案を踏まえて、職員、審査員に対して、お客様の情報管理のルールの厳守と情報機器のセキュリティ対策の実施について周知・徹底を行うとともに、サイバーセキュリティ専門事業者に審査員が直接相談できる窓口を設置する等、再発防止措置を実施してまいります。

この度の事態につきまして、ご不明な点がございましたら、お気軽に下記までお問い合わせください。

今後とも、お客様との信頼関係を築き、より一層のサービス向上と再発防止に努めてまいりますので、何卒ご理解とご協力をお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-252】独立行政法人国立特別支援教育総合研究所 情報セキュリティインシデント(不正アクセス)について 2025/7/8

 本研究所の情報基盤システムへVPN接続による不正アクセスがあったことが令和7年7月3日に判明したので報告いたします。

現在判明している不正アクセスの他に、不正アクセスの有無、不正アクセスされた可能性のある情報の範囲・レベル等は確認中です。

また、ファイルサーバへアクセスし初期化が実行されているため、個人情報や機微情報等に影響が及んでいる可能性の有無も含めて影響範囲を調査しております。

当該事案の原因については現在調査中であり、調査が完了次第、再発防止策を講じてまいります。

なお、本件については警察に報告しております。

現時点で個人情報や機微情報の漏洩及び情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等にはご注意ください。万が一本事案による情報漏洩が疑われる場合は、以下の問い合わせ先までご連絡ください。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-251】ソフトバンク株式会社 業務委託先企業による個人情報漏えいの可能性について 2025/6/11

 

ソフトバンク株式会社(以下「弊社」)は、弊社の業務委託先である株式会社UFジャパン(以下「UFジャパン」)から、弊社の携帯電話サービス(“ソフトバンク”および“ワイモバイル”)を契約されている個人のお客さまの情報が流出した可能性があることが判明しましたので、お知らせします。

流出した個人情報の件数は調査中ですが、現在判明している限りにおいては、約14万件に及ぶ可能性があります。情報の種類は、氏名、住所、電話番号などです。クレジットカード情報や口座情報、マイナンバーカードに関する情報などは含まれていません。なお、流出した可能性がある情報を用いたお客さまの被害などの事実は、現時点で確認されていません。これを受けて、弊社は2025年6月3日に監督官庁および関係機関へ報告するとともに、警察への相談を進めています。また、弊社の調査の過程において、UFジャパンが弊社の許諾なしに協力会社と契約していたことと、UFジャパンが弊社との契約上のルールに反した情報の取り扱いをしていたことが判明しています。

このたびは、お客さまに多大なご迷惑とご心配をおかけすることになり、深くおわび申し上げます。

弊社は、このような重大な事象が発生したことを真摯に受け止め、個人情報を取り扱う業務委託先に対する管理を強化して再発防止に努め、お客さまに安心していただけるように取り組んでいきます。

概要

(1)経緯

2025年3月下旬に、社外の第三者から、弊社のお客さまの個人情報に関して、UFジャパンの事業所内で不適切な取り扱いがされている可能性と、他社の通信事業者のサービス勧誘に利用している可能性があるとの申告を受けました。その後、弊社が調査した結果、下記の事実などが判明しました。

①UFジャパンの協力会社の元従業員A氏による不適切な行為

UFジャパンの協力会社を退職したA氏が、2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリーを情報管理端末に接続して、弊社のお客さまの個人情報を持ち出している可能性があることが判明しました(監視カメラの映像で確認)。一方で、弊社の調査に対して、A氏は個人情報の持ち出しについて、記憶にないと主張しています。

②UFジャパンの協力会社の従業員B氏による情報管理の不備

従業員B氏が、弊社のお客さまの個人情報を含むファイルをクラウドサービスにアップロードし、弊社の業務に携わっていない3人がその内容を閲覧できる状態になっていたことが判明しました。なお、現時点で、この3人が情報をダウンロードした形跡はありません。

③UFジャパンの情報管理体制

弊社は業務委託先に対してセキュリティールールを定めていましたが、UFジャパンは、個人情報を取り扱うフロアへの社外の第三者の入退室の許容や警備員の未配置など、ずさんな運用を行っていました。さらに、弊社が実施したセキュリティー監査に対して虚偽の報告を行っていたことが判明しています。

(2)流出した可能性があるお客さまの情報

件数(現在判明しているもの)

13万7,156件(①13万5,022件、②2,134件)

[注]

その他、弊社の社内システム以外で個人を特定することができない、社内の顧客管理番号のみが16万1,132件あったことが併せて判明しています。

対象サービス

“ソフトバンク”および“ワイモバイル”の携帯電話サービス

流出した可能性がある情報

氏名、住所、生年月日、電話番号、性別、年齢、契約内容(料金プランなど)、サービスの利用に関する情報、社内の顧客管理番号など

[注]

①と②ともに、クレジットカード情報や口座情報、マイナンバーカードに関する情報は含まれていません。

本事案に対する対応

弊社は、UFジャパンが業務で使用していたパソコン全台のフォレンジック調査や、関係者への聞き取り調査、警察への相談などを進め、全容の解明に努めていきます。また、情報の流出の可能性の確認を継続的に行っていきます。

また、UFジャパンに対しては、委託してきた当該業務を5月20日に停止し、6月9日付で当該業務における同社との業務委託契約を解除しました。

本事案に関するお客さま専用の問い合わせ窓口を設置しました。

お客さま専用の問い合わせ窓口

電話番号 0800-111-6636

[注]

受付時間:午前10時から午後7時まで

個人情報を取り扱う委託先に関する今後の方針

①個人のお客さまの情報を取り扱う業務および環境の見直し

弊社のコールセンターと、“ソフトバンク”および“ワイモバイル”の取扱店以外からの、個人のお客さまへの営業目的での架電を原則廃止します。架電する場合は、お客さまの明確な承諾を得た上で実施します。

契約サポートなどの営業目的以外で個人のお客さまへの架電業務を行う委託先に対しては、個人情報を取り扱うための環境(設備・運用)を弊社が全て用意し、個人情報の取り扱いを常時監視するなど、より厳格な運用管理を行っていきます。

②緊急監査

個人情報を取り扱う委託先に対する緊急監査を進めています。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)