【セキュリティ事件簿#2025-260】東大和市 電子メールの送信による個人情報の漏えいについて 2025/6/11

 

この度、教育部教育総務課が主催するイベントに参加する市民の電子メールアドレスを漏えいさせる事故が発生いたしました。

関係市民の皆様に深くお詫び申し上げますとともに、今回の事態を厳粛に受け止め、再発防止に取り組んでまいります。

1 発生日時

令和7年6月11日(水)午前8時51分

2 概要

令和7年6月19日(木)開催の「学校給食センター見学試食会」に関する案内について、当日の 参加予定者30名に送信する際、本来「BCC」(メールアドレス及び電子メールの表示名が他の送信相手に表示されない)欄にメールアドレスを入力すべきところ、誤って「宛先」欄にメールアドレスを入力して送信したことから、個人情報の漏えいが発生しました。

3 漏えいした個人情報

当日の参加予定者30名の電子メールアドレス

4 判明後の対応について

(1)参加予定者に対して、令和7年6月11日(水)午前11時30分ごろより、電話にて経過の説明と謝罪を行うとともに、当該電子メールの完全削除を依頼しております。

(2)令和7年6月11日(水)中に、市公式ホームページへの掲載、及び関係部署と調整のうえ、必要に応じて関係機関に報告を行います。

5 再発防止策について

(1)外部への複数の宛先へのメール送信にあたっては、BCC 欄の使用を徹底し、送信前に複数職員によるダブルチェックの実施を徹底いたします。

(2)個人情報保護の重要性の認識について、改めて職員に対して注意喚起を行うとともに、個人情報保護の重要性の再認識を図るよう指導を行ってまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-259】「成績をクラウドに放置」中学校が情報管理崩壊 生徒から丸見え、1か月気づかず

 

愛知県半田市の市立中学校で、卒業生223人分の成績データが、生徒もアクセス可能な状態でクラウド上に約1か月間放置されていたことが判明した。

発覚のきっかけは、教職員ではなく、別の教員とクラウドにアクセスした生徒からの指摘だった。

市教育委員会によると、問題のデータは今年3月に同校を卒業した生徒の成績情報。3月末に異動した教員が、過去の教材データを新しい勤務先でも活用しようと、成績データも含まれたフォルダを生徒が閲覧可能なクラウド環境にコピーしていたという。

本来、教員専用のクラウドに保管されるべき情報だったが、誤って生徒用と共有され、しかも削除されることなく約1か月間放置され続けた。

この異常事態を認識したのは教職員ではなく、生徒だった。

市教委は、外部への漏えいはなかったとする分析結果を業者から受け取っており、対象となる生徒に対して謝罪文を送付したと説明している。

出典:愛知 半田の中学校 卒業生の成績 生徒が閲覧できる状態にアーカイブ

Labels:

【セキュリティ事件簿#2025-258】東北電力ネットワーク株式会社 当社システムにおけるお客さま情報の管理不備に関するお知らせとお詫びについて 2025/6/11


当社は、東北電力株式会社(以下、「東北電力」)と共同利用し、当社が管理している顧客情報管理システム(以下、「システム」)の一画面において、本来、非表示として取り扱うべきお客さま情報※(以下、「当該情報」)について、東北電力のシステム利用者が閲覧可能な状態にあることを、同社からの連絡により確認いたしました。

 原因は、システムのプログラム設計誤りによるものです。

当該情報が表示された画面は、新設工事申込の工程管理を行う画面であり、新設(東北電力と需給契約)工事完了後、短期間で契約者および契約先(東北電力以外の小売電気事業者と需給契約)が変更されたケースにおいて、東北電力が新設時のお客さま情報を閲覧しようとした際に、一定の期間に限り、変更後のお客さま情報が表示される状態になっていたものです。

表示された情報は「お客さま名」「住所」等であり、電話番号や小売電気事業者情報は含まれておりません。

当社では、速やかにシステム上の対策措置を実施し、閲覧可能な状態を解消するとともに、システムの当該画面以外で同様の事象が発生していないことを確認いたしました。

なお、本システムは当社と東北電力のみが利用するものであり、東北電力以外へのお客さま情報の漏えいは発生しておりません。

あわせて、過去のアクセス履歴を調査した結果、東北電力のシステム利用者による769件の当該画面の閲覧がありましたが、いずれも業務の適正な処理を目的として行われたものであり、閲覧した情報をもとにした営業活動等の不適切な取り扱いはなかったことを東北電力に確認しております。

漏えいが確認されましたお客さまには、今後当社から個別にお知らせを行ってまいります。

お客さまにご心配をおかけすることとなり、深くお詫び申し上げます。

当社といたしましては、改めてお客さま情報の適切な管理の徹底を図るとともに、再発防止に努めてまいります。

※ 小売電気事業者間の公正な競争の観点から、東北電力以外の小売電気事業者と契約しているお客さまの情報については、東北電力が閲覧できないよう情報遮断措置を講じております。

 リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-257】株式会社毎日新聞社 毎日新聞デジタルへの不正ログインの発生について 2025/7/11

 

このたび、毎日新聞社が運営する「毎日新聞デジタル」に何者かが何らかの手段で不正に入手したログインID(メールアドレス)とパスワードの情報を用いて不正ログインを行ったとみられる事案を確認しました。速やかに外部からのアクセスを制限する対策を講じ、外部の専門家と協力して原因分析などを進めております。

これまでのところ、弊社サイトから個人情報が流出した可能性は低いと考えております。この件でご迷惑とご心配をおかけしておりますことを、深くおわびいたします。

1、現時点で判明している事案の概要

10日午前、毎日新聞デジタルへのログイン情報を識別するシステムに対する不審なアクセスを検知しました。調査したところ、今月8日以降、ログインを試みる大量のアクセスがあったことが判明しました。10日夜に外部からのアクセスを制限する対策を講じるまで、3日間で約2万件のIDでログインがあり、この中に第三者による不正ログインが含まれているとみて確認しています。

この期間中、会員アカウントの個人情報ページに不正なアクセスの形跡がなかったことから、弊社サイトから個人情報が流出した可能性は低いと考えておりますが、さらに調査しております。個人情報ページには、住所、氏名、電話番号、性別、生年月日、支払い方法が記載されています。クレジットカード情報は別のシステムで管理しており、漏えいはありません。

ログインを試みたメールアドレスには毎日新聞デジタルに登録がないものも大量に含まれており、IDとパスワードが弊社から流出した可能性は低いと考えております。

今後、外部のセキュリティーの専門家と協力し、原因究明や被害状況の確認、再発防止策の策定などを進めます。

2、会員の皆さまへパスワード再設定のお願い

安全を考慮し、8日から10日にログインが確認されたIDの会員アカウントで、パスワードを無効化させていただきました。当該アカウントの会員の皆さまには、パスワードの再設定をお願いするメールをお送りしておりますので、ご対応をお願いいたします。

また、不正ログインがなく、弊社からのメールを受信していない方も、ご不安な場合はパスワードの再設定をお願いいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-256】株式会社審調社 不正アクセスに関するご報告とお詫び 2025/7/11

 

この度、2025年6月27日に弊社の一部サーバーが第三者により不正アクセスされ、同サーバー内に保存されていたファイルが暗号化されるランサムウェア被害が発生したことをお知らせいたします。

弊社では、ランサムウェア被害の事実を認識した直後より、本件対策本部を設置の上、セキュリティ専門調査会社などの外部専門家の助言のもと、被害の全容把握、被害拡大防止、復旧対応および調査を進めております。また、警察への被害申告・相談を行っております。

本件の原因および漏えいしたおそれのある情報については現時点で調査中となります。被害の全容を把握するには、今しばらく時間を要する見込みですが、新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいります。

お取引先様をはじめ、多くの関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

引き続き対応中ではございますが、第一報としてご報告とお詫びを申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-255】茨城県 医療大学におけるメール誤送信によるメールアドレスの漏えいについて 2025/6/23

医療大学において、認定看護師教育課程の令和8年度受講希望者向け説明会参加者に、アンケートの協力依頼をメールで送付する際に、誤送信により個人のメールアドレスが漏えいする事案が発生しました。

情報漏えいの対象者に対して、また、県民の皆様の信頼を損ねる事案を起こしてしまったことについて深くお詫び申し上げますとともに、同様の事案が発生しないよう、再発防止に努めてまいります。

1 事案の概要

(1)経緯

6月 21 日(土)

 認定看護師教育課程の令和8年度受講希望者向け説明会を開催

(参加者:外部の看護師等 61 名)

6月 23 日(月) 

所属において、説明会参加者に対するアンケートの協力依頼のメールを送付することとなっていたが、担当職員が体調不良により急遽不在となったため、別の職員が代理で対応。その際、全員の宛先を「Bcc」でなく誤って「To」で送信

同日 対応した職員とは別の職員が誤送信に気づき事案が発覚

(2)漏えいした情報

個人のメールアドレス 61 件

2 原因

メール送信時に、複数職員による宛先の確認を怠ったため。

3 発覚後の対応

発覚当日に、対象者に謝罪するとともに、送信したメールの削除を依頼

4 再発防止策

・メール送信前の複数職員による宛先の確認を徹底する。

・所属職員に対し、改めて、情報セキュリティポリシーの遵守について周知徹底する。

・メール送信は原則的に担当者が行うものとし、緊急でなければ代理送信は行わないものとする。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-254】秋田大学 個人情報が記録されたUSBメモリの紛失について 2025/5/30

 

1.概要

本学医学部附属病院において,業務で使用していた個人情報が記録された USB メモリの紛失が判明しました。当該部署において,最後に USB メモリを使用したのは令和 7 年 2 月 25 日(火)であり,使用後は所定の保管場所に戻し,その後は同部署にて保管しておりましたが,3 月 10 日(月)に紛失に気付いたものです。以後捜索を続けておりますが,現時点では見つかっておりません。

USB メモリは当該部署内でのみ使用しており,また,部署外に持ち出すこともないことから,院内で紛失した可能性が高いと考えております。USB メモリに保存されていたデータファイルにはパスワードが設定されており,本日現在,本件によって個人情報が第三者に流出したという情報や不正に利用されたという事実は,確認しておりません。

2.紛失した個人情報

紛失した USB メモリには,本院で平成 15 年 2 月以降に発生した職員の「針刺し・切創」及び「皮膚・粘膜曝露」の発生状況等に関する以下のデータが保存されております。

(1)針刺し等に関係した患者様 481 名の氏名,カルテ番号,ウイルス検査の結果

(2)受傷した本院職員等延べ 941 名の氏名,フリガナ,職員番号,カルテ番号,性別,年齢等

※「針刺し・切創」とは医療従事者が業務中に,使用済みの注射針などの患者様の血液等が付着した器具を誤って自分の皮膚に刺すなどによって外傷を負った場合,「皮膚・粘膜曝露」とは患者様の血液等が医療従事者の目などの粘膜や損傷のあった皮膚に付着した場合をいいます。

本院では,「針刺し・切創」や「皮膚・粘膜曝露」が発生した場合は,職員の感染予防のため,患者様の同意を得た上で,採血により針刺し等に関係した患者様のウイルス検査を行っております。

3.対象となった患者様及び本院職員等には,文書で本件紛失の御連絡と謝罪を行いました。

4.再発防止に向けた取り組み

今回の事態を重く受け止め,業務で取り扱う個人情報の管理を厳重に行うほか,USB メモリ等の外部記憶媒体の管理に関するルールの周知徹底を行います。また,全職員に対して定期的に個人情報保護に関する研修を行うなど,個人情報の保護対策を一層強化します。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-253】一般財団法人日本自動車研究所 認証センター お客様情報の漏洩可能性に関するお詫びとお知らせ 2025/6/3

 

平素よりお世話になっております。この度、弊センターが業務委託している外部の審査員が、2025年4月11日、10社分の審査情報を保管しているPCの利用中に、いわゆるサポート詐欺の被害に遭う事態が発生しました。その後の専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。今回、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、再発防止に努めてまいります。詳細は以下の通りです。

■事案の概要

弊センターが業務委託している外部の審査員が、2025年4月11日、トロイの木馬への感染を装った、いわゆる、サポート詐欺の被害に遭い、偽の警告画面に記載されたサポート窓口に電話をし、遠隔操作ソフトをダウンロード・インストールさせられた結果、第三者に当該 PC へのリモート接続を許すことになりました。当該PCには、審査情報(一部の事業者10社様の過去3年度分の審査計画書、審査報告書など)が、含まれておりました。

JARIは審査員には、JARI-RBから情報セキュリティ対策を求めており、この中で、審査が終了した案件に関するお客様の情報は全て消去し個人で保有しないことを求めておりましたが、当該審査員は、終了した審査情報のうち一部の情報を消去しておりませんでした。このためパソコンが乗っ取られた間に、審査中の情報に加え、過去の情報も含め、抜き取られた、もしくは閲覧された可能性がございました。

被害について審査員から速やかに警察に相談するとともに、JARIから個人情報保護委員会に報告しております。

■フォレンジック調査の結果

約1か月による専門業者によるフォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されました。本事案に関係する事業者様には直接ご連絡し、状況の報告をさせていただいております。

■お詫び及び再発防止措置

今回このような事態が発生し、関係者の皆様には多大なご迷惑をおかけしたことを深くお詫び申し上げますとともに、JARIでは本事案を踏まえて、職員、審査員に対して、お客様の情報管理のルールの厳守と情報機器のセキュリティ対策の実施について周知・徹底を行うとともに、サイバーセキュリティ専門事業者に審査員が直接相談できる窓口を設置する等、再発防止措置を実施してまいります。

この度の事態につきまして、ご不明な点がございましたら、お気軽に下記までお問い合わせください。

今後とも、お客様との信頼関係を築き、より一層のサービス向上と再発防止に努めてまいりますので、何卒ご理解とご協力をお願い申し上げます。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)