【セキュリティ事件簿#2022】守口市 個人情報の漏えい可能性がある事象の発生について 2022年12月28日


本市において、現在開催中の「謎解き宝探し in 守口市」のプレゼントアンケートフォーム上で、個人情報漏えいの恐れがある事案が発生しました。

ご関係者の方々には、大変なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1 漏えい可能性がある個人情報
プレゼント応募に関するアンケートに回答をした参加者 61 名が入力した、氏名(漢字)、フリガナ、郵便番号、住所、電話番号、メールアドレスを含む応募内容

2 漏えい可能性が発覚した日
令和4年 12 月 26 日(月)

3 個人情報がアンケートフォーム上に掲載された期間
令和 4 年 12 月 20 日(火)から令和4年 12 月 26 日(月)午前 11 時まで

4 事案発生の経緯
① 令和4年 12 月 20 日(火)から、本市において、「謎解きイベント」を開催した。

② 謎解きイベントのアンケートに回答した参加者が応募できるプレゼントアンケートフォームにて、回答送信した後、一定の条件下(プレゼントフォーム送信後、「前の回答を表示」を押した際に、他の方が入力した個人情報が表示される状態)で、参加者の個人情報が閲覧可能な状態になっていたもの。

③ 令和4年 12 月 26 日(月)午前 10 時頃に事実確認を行い、該当アンケートフォームを速やかに停止しました。

なお、現在のところ、漏えいの可能性がある個人情報を用いたと考えられる被害報告はありません。

5 原因
「謎解き宝探し in 守口市」は、守口市がプロポーザル審査を経て東武トップツアーズ株式会社に業務委託を締結した参加型イベントで、同社が作成したアンケートフォームにおいて生じた不具合によるものです。

6 再発防止に向けた対応
個人情報の漏えいの可能性がある方に対しまして、報告・謝罪を行うとともに、被害報告の把握に努めます。また、プレゼントフォームはクローズし、個人情報保護に関するシステムの不具合解消とその検証を実施いたします。

【セキュリティ事件簿#2023-018】ベストリンク株式会社 弊社が運営する「e-ca公式サイト」における個人情報漏えいに関するお詫びとお知らせ 2023年1月11日


2022年10月25日、画面表示を最適化するサービスを提供する株式会社ショーケース(東京都港区六本木一丁目9番9号。以下「ショーケース社」といいます)より、同社のシステムが不正アクセスによる改ざんを受けた旨の公表がありました。

ショーケース社公表:https://www.showcase-tv.com/pressrelease/202210-fa-info/

弊社では、運営する「e-ca公式サイト」において同サービスを利用しており、お客様のクレジットカード情報(15名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、2022年10月25日より、電子メールおよび電話にてお詫びとご説明を個別に差し上げております。

本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年7月28日、ショーケース社から、同社システムへの不正アクセスの影響から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年7月28日に同社システムとの接続を解除し、2022年8月31日弊社が運営する「e-ca公式サイト」でのカード決済を停止いたしました。 2022年11月11日、当社における第三者調査機関による調査が完了し、2022年7月24日~2022年7月26日の期間に「e-ca公式サイト」で入力されたお客様クレジットカード情報が漏洩した可能性があることを確認いたしました。 以上の事実が確認できたこと、および後記「4.公表が遅れた経緯について」記載の事情から本日の発表に至りました。

2.個人情報漏洩状況

(1)原因
弊社がe-ca公式サイトにて利用しているショーケース社のサービスが第三者により不正に改ざんされたため。

(2)個人情報漏洩の可能性があるお客様
2022年7月24日~2022年7月26日の期間中に「e-ca公式サイト」においてクレジットカード情報の入力をされたお客様15名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当するお客様については、別途、電子メールおよび電話にて個別にご連絡差し上げております。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年7月28日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことについて、疑いがある時点でお客様にご連絡し注意を喚起差し上げることも検討したところではございますが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびショーケース社並びにカード会社等との連携を待ってから行うことに致しました。
今回の発表まで時間を要したことについて、お詫び申し上げます。

5.再発防止策ならびにe-ca公式サイトにおけるクレジット決済の再開について

弊社はこのたびの事態を厳粛に受け止め、より一層のセキュリティ対策の強化を行い、再発防止を図ってまいります。

e-ca公式サイトにおけるクレジット決済の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

弊社は、今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月1日に報告済みであります。

また、本件はショーケース社から所轄警察署に2022年8月5日被害申告しており、弊社としても今後捜査に全面的に協力してまいります。


【セキュリティ事件簿#2023-017】東北電力株式会社 新電力等のお客さま情報の取り扱いに係る報告徴収の受領について 2023年1月13日


当社は、東北電力ネットワーク株式会社(以下、「東北電力ネットワーク」)が管理する当社以外の小売電気事業者(以下、「新電力等」)のお客さま情報を閲覧していたことが判明し、本日、電力・ガス取引監視等委員会(以下、「監視等委員会」)および個人情報保護委員会から報告徴収を受領いたしました。

本事案は、昨年、東北電力ネットワーク以外の一般送配電事業者が管理する託送システムにおいて、新電力等のお客さま情報が特定関係事業者※から閲覧可能な状態に置かれており、特定関係事業者の社員等が閲覧を行っていた事案が発生したことを受け、2022年12月27日付の監視等委員会からの依頼に基づき調査を進める中で判明したものです。

※一般送配電事業者と同一グループ内の小売電気事業者等

 これまでの調査において、当社の3営業所(青森県、岩手県、宮城県内の各1カ所)において、
  • 当社の従業員も立入可能なスペース(東北電力株式会社・東北電力ネットワークの共有スペース)に、東北電力ネットワーク用の端末が配置されていたこと
  • 営業所に端末を新規配備する際に、東北電力ネットワークが管理する情報を閲覧可能な端末が誤って配備されたこと
から新電力等のお客さま情報が閲覧可能な状態となっており、そのうち2営業所において、当社の従業員が同端末を使用して新電力等のお客さま情報を閲覧していたことを確認いたしました。

なお、当該営業所の関係者へ聞き取りしたところ、現時点ではお客さまからの契約申込ならびに契約切替(スイッチング)の申し出に対する契約状況の確認のみに用いたものでありますが、詳細は調査中です。

当社といたしましては、今回の事案を重く受け止めており、報告徴収に適切に対応してまいります。


【セキュリティ事件簿#2022】関西電力株式会社 新電力顧客情報の取扱いに係る報告徴収の受領について 2023年1月13日


当社は、2022年12月、関西電力送配電株式会社が管理していた当社以外の小売電気事業者のお客さまの情報(以下、新電力顧客情報)を閲覧し活用していたことが判明し、電力・ガス取引監視等委員会(以下、監視等委)から報告徴収を受領しました。 [2022年12月27日お知らせ済み]

当社は、当該報告徴収に指定された2022年9月12日から12月12日の3ヶ月間における新電力顧客情報を閲覧した記録の調査等を行い、本日、調査結果とともに当面の再発防止策等について監視等委に報告しました。

調査結果は別紙の通りですが、730名の当社社員および委託先社員が、14,657契約の新電力顧客情報を閲覧していたことを確認しました。主な閲覧目的は、お客さまからの申し出に対する契約状況の確認や問合せ対応でした。一部、当社からお客さまへの提案活動に利用するために閲覧していたことも確認しています。

本件の原因は、行為規制に関する理解やコンプライアンス意識の徹底が不十分であったことに加え、会社として不適切な業務運用を早期に把握し是正する仕組みが不十分であったことにあると考えています。

また、今回の調査の過程で、監視等委に報告するために委託先に抽出を依頼した統計データの中に、新電力顧客情報が入っていたことが判明し、監視等委に報告するとともに、すみやかにデータ抽出を取りやめる等の対策を実施しています。

行為規制上、新電力顧客情報を不適切に取り扱っていたことについて、改めて深くお詫び申し上げます。

現時点で把握している閲覧可能な新電力顧客情報については、本日までに情報遮断処理が完了しています。加えて、行為規制関係の研修の強化などの当面の再発防止策にすみやかに取り組みます。

今後、監視等委のご指導に真摯に対応するとともに、社外弁護士等で構成されたコンプライアンス委員会による客観的かつ徹底的な調査・原因究明を実施し、二度とこのような事態が起こらないよう再発防止策を徹底してまいります。

また、コンプライアンスを最優先にする企業風土の醸成を目指し、引き続き、全力を尽くしてまいります。


【セキュリティ事件簿#2022】株式会社バンタン 一部サーバーへの不正アクセスに関するお知らせ(第2報) 2023年1月13日



株式会社バンタンは、当社が運用する複数あるサーバーのうち一つのサーバー(以下、該当サーバーという)に不正アクセスが行われたことについて、2022年11月30日にお知らせいたしました。

その後、進めてまいりました調査の結果、及び復旧に向けた対応をお知らせ申し上げます。

2022年11月25日17時頃、当社が運用する該当サーバー上にあったサイトにおいて、一部のデータが削除、また不正なファイルが作成されるなどの被害が発覚いたしました。その後速やかに、被害の拡大を防ぐために不正アクセスされたサーバーを停止し、該当サーバーで管理していたサイトを一時停止いたしました。

これまでに行われた当社と外部専門機関との共同調査の結果、該当サーバー上で過去利用していたコンテンツ管理システムのバージョンの脆弱性を悪用されて侵入されたこと、及びその経路が明らかになりました。個人情報保護委員会への報告と所轄警察署への届け出は完了しております。

調査の結果、個人情報が外部に持ち出された痕跡は確認されておりません。しかし、流出の可能性を完全に否定することは難しく、対象となるお客様には、本日より当社から順次お知らせとお詫びに関するご連絡をメールもしくは郵送でお送りいたします。大変恐縮ですが、当社からのお知らせが届いたお客様は、内容をご確認いただきますようお願い申し上げます。

なお、現在、本件に関わる個人情報の不正利用などは確認されておりません。

お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

◆不正アクセスがあった該当サーバーで保有していた情報

対象:当社が運営するスクールを対象に、2022年8月1日〜2022年11月27日の間に資料請求・イベント予約をされた方の個人情報 17,935件
情報:氏名、住所、電話番号、生年月日、性別、メールアドレス、職業、興味のある分野(ファッション、ゲーム等)、その他(イベントに参加希望する日時等)
※クレジットカード情報は含まれておりません。

◆今後の対応

  • 当社では、本日より順次、対象のお客様にメールもしくは郵送で連絡をしてまいります。また、上記のお客様サポート窓口を設け、お客様からのお問い合せに対応いたします。
  • 現在稼働している全Webサイトの脆弱性診断を行っております。
  • 情報流出が明らかになった場合は、関係者の皆様に対する速やかな対応を行うとともに、改めてホームページ等にてお知らせいたします。
  • 当社では今回の事態を重く受け止め、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

【セキュリティ事件簿#2023-016】北海道ガス株式会社 北ガスジェネックスのお客さま情報漏えいの可能性に関するお詫びとお知らせ 2023年1月13日


北海道ガス株式会社の子会社である北ガスジェネックス株式会社が灯油配送業務を委託している北斗興業株式会社において、北ガスジェネックスのお客さま情報が漏えいした可能性のあることが判明いたしました。お客さま、関係する皆さまには、多大なるご迷惑、ご心配をおかけすることを深くお詫び申し上げます。

なお、現時点で、お客さま情報が不正に利用された等の連絡や問い合わせはございません。

1. 本件の概要
北ガスジェネックスが灯油配送業務を委託している北斗興業におきまして、ネットワーク共有している会社のサーバーに不正アクセスのあったことが確認されました。さらに当該サーバーとネットワーク共有していた北斗興業のサーバーへの不正アクセスがあり、北ガスジェネックスが北斗興業に灯油配送業務を委託しているお客さま情報が漏えいした可能性のあることが判明いたしました。

2. 経緯
  • 2022年12月6日
    北斗興業がネットワーク共有していた会社において自社サーバーの不正アクセスを確認。その後の調査により、ネットワークを通じてお客さま情報への不正アクセスが判明。

  • 2023年1月12日
    北斗興業より、北ガスジェネックスに本件の報告があり、お客さま情報の漏えいの可能性が判明。
3. 漏えいの可能性があるお客さま情報
  • 対象 : 2020年2月以前に、北ガスジェネックスが北斗興業に灯油配送業務を委託しているお客さま情報(函館地区)
  • 項目 : 氏名、住所、電話番号
  • 件数 : 88件
なお、北斗興業より、現時点で、お客さま情報の漏えいの事実は確認されていないとの報告を受けております。

4. 今後の対応
  • 対象のお客さまには、北ガスジェネックスより個別に通知させていいただく予定です。
  • 北ガスグループでは、今回の事態を重く受け止め、再発防止に向け、委託先の管理を含めたより一層の情報管理体制の強化に努めてまいります。

【セキュリティ事件簿#2023-015】SHIGETA 株式会社 弊社が運営する「SHIGETA PARIS公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2023年1月12日


このたび、弊社が2017年10月~2022年8月まで運営しておりました、リニューアル前の「SHIGETA PARIS公式オンラインストア(http//shigetajapan.com)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(7,024件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、第三者機関による調査の結果、2022年8月3日以降よりリニューアルして運営しております現在の「SHIGETA PARIS公式オンラインストア(https://shigetaparis.jp)」におきましては、不正アクセス及びクレジットカード情報漏洩の痕跡は確認されませんでしたが、弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告致します。

1.経緯

2022年9月2日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。弊社が運営するリニューアル前の「SHIGETA PARIS公式オンラインストア(https//shigetajapan.com)」は2022年7月31日時点では既にサイト自体停止をしておりました。リニューアル後の新環境についても漏洩懸念の有無を確認するため、2022年9月21日時点でカード決済を停止いたしました。同時に、第三者調査機関による調査も開始いたしました。2022年11月24日、調査機関による調査が完了し、2021年3月2日~2022年8月3日の期間にリニューアル前の「SHIGETA PARIS公式オンラインストア(https//shigetajapan.com)」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況

(1)原因

 弊社が運営するリニューアル前の「SHIGETA PARIS公式オンラインストア(http//shigetajapan.com)」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年3月2日~2022年8月3日の期間中にリニューアル前の「SHIGETA PARIS公式オンラインストア(http//shigetajapan.com)」においてクレジットカード決済をされたお客様7,024名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する7,024名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い致します。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年9月2日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。 

5.再発防止策ならびに弊社が運営するサイトの再開について

2022年8月3日にリニューアルオープンした現在の「SHIGETA PARIS公式オンラインストア(http//shigetaparis.jp)」では情報漏洩を確認されておりませんが、弊社では今回の事態を厳粛に受け止め、更なるシステムセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。カード決済機能の再開日につきましては、決定次第、改めてHPにてお知らせ致します。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報委員会には2022年9月5日に報告済みであり、また、所轄警察署にも2022年12月22日被害申告しており、今後捜査にも全面的に協力してまいります。


【セキュリティ事件簿#2023-014】一般財団法人 国際ビジネスコミュニケーション協会 TOEIC申込サイトへの不正アクセスのご報告およびアカウント管理に関するお願い 2023年1月11日


平素より、TOEIC Programをご利用いただき、誠にありがとうございます。
この度、「TOEIC申込サイト」において、当協会以外のサービスから入手したユーザーID・パスワードを用いた、第三者による不正アクセスが発生したことを確認いたしました。

不正アクセスの概要
本件不正アクセスは、2023年1月8日(日)から発生し、一部の会員の情報が第三者に閲覧された可能性があることが判明いたしました。
不正にログインされた可能性があるアカウントについては、既に利用停止の措置を講じた上で、情報を閲覧された可能性のある会員の方へは、別途、当協会より個別にご連絡いたしました。

<今回の不正アクセスで閲覧された可能性のある情報>

  • 登録ID、氏名、生年月日、性別、住所、電話番号、メールアドレス
  • 出身国、母国語、秘密の質問、質問の回答(以上は登録された方のみ)
※申込履歴・テスト結果・クレジットカード情報および上記以外の情報は閲覧されておりません。

会員のみなさまにおかれましては、当協会以外のサービスで利用されているパスワードと同一のものを「TOEIC申込サイト」でご利用の場合は、パスワードの変更をお願い申し上げます。

当協会では、より一層のセキュリティ強化を図り、さらなる安全性の確保に努めてまいります。

会員のみなさまにはお手数をおかけいたしますが、ご対応につきご理解を賜りますよう、どうぞよろしくお願い申し上げます。