日本航空(JAL)、ロイヤリティマーケティング、およびKDDIは、PontaポイントをJALマイレージバンクのマイルに交換する際のレートを通常より20%増加させるキャンペーンを、11月1日から12月31日まで実施します。このキャンペーンはJMB×Ponta会員またはJMBローソンPontaカードVisa保有者に適用され、交換レートは通常2Pontaポイントあたり1マイルから、20%のボーナスマイルが付与されます。
【セキュリティ事件簿#2023-387】UTコネクト株式会社 個人情報漏洩のお知らせとお詫び 2023 年 9 月 19 日
この度、UTコネクト株式会社(本社:東京都品川区、代表取締役社長 外村学)は、当社へご応募いただいた求職登録者の情報が外部に流出したことが判明しました。現時点で判明している事実とこれまでの対応は以下の通りです。当社のサービスへご登録をいただきました求職者の皆様、およびメールをお送りしましたお客様には心よりお詫び申し上げます。当件につきましては引き続き、協議しながら対応を進めて参ります。
1.経緯概要
9 月 12 日、当社営業社員が新規お客さま向けの営業DMをメールにて配信。配信時に、求職登録者の個人情報の記載がある Excel データを添付し送信。その後 9 月 13 日、お客様からのご連絡によりファイルに 2259 名分の個人情報が含まれていることが発覚いたしました。
2.流出した個人情報の内容
当社の求人へご応募いただき、ご登録をいただいている 2259 名のデータ。氏名、生年月日、年齢、性別、住所、電話番号、保有資格、辞退理由等)となります。
3.原因詳細
今回のメール送付に関して、開示できる情報内容に加工し送付するという予定でしたが、当事者の個人情報の取扱いに対する意識不足とまた送付時の慎重な確認、組織内でのチェックが機能していなかったことによりこのような事態となりました。
4.弊社の対応
9 月 15 日、まずは送信を行ったお客様 44 社すべてに「メール転送の有無」「印刷有無」「デスクトップ保存の有無」の確認及びデータ破棄の確認を完了しております。また個人情報保護委員会への報告を完了しております。なお、漏洩対象の皆様へは 44 社すべてのデータ破棄を確認後、19日より、ご連絡をさせていただきます。
5.二次被害又はそのおそれの有無
上記のように、送信先の特定とデータ破棄の確認を完了しており、二次被害のおそれはございません。
6.今後の対応
各事業所内における情報の取り扱い、チェック体制の再整備、営業社員への情報取り扱い教育を強化いたします。
この度は当社のサービスへご登録をいただきました求職者の皆様、およびメールをお送りしましたお客様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。今後は一層の組織体制の強化と再発防止策に努めてまいります。
【搭乗記】日本航空JL465 羽田空港(HND)⇒徳島阿波おどり空港(TKS)
古い友人と徳島旅行に行くことになった。
日本国内、旅行先の候補は数多くあるが、あまり徳島を率先して選択するケースは少ないのではなかろうか?
で、何故今回徳島を選んだか?航空券が安かったからである。
Googleフライトを使うと、東京発で国内線のどこの便が安いかを簡単にチェックすることができる。テクノロジーの進化は素晴らしい!!
そんな訳で今回はある金曜日の最終便で徳島入りし、翌火曜日の最終便で羽田に戻るスケジュールを立てた。
今回は団体旅行なのでラウンジ利用は無し。
そういう時に限って遅延が発生する。。。
ただ、周りを見ると全体的に遅延祭りが発生している感じだった。
なんだかんだで30分遅れで搭乗。
機材はB767。通路側の席が2列なので、この機材は国内線ではお気に入りです。
今回は最後方の座席50Kを選択。
最後部なので、後ろに気兼ねなく席を倒せるのはメリットだが、窓が無いのがデメリット。
徳島便だからとなめてかかっていたが、搭乗便は金曜便の最終だったせいか、ほぼ満席だった。
後方座席に座ることはあまりないため、機内全体を眺められるのは新鮮だった一方、機内サービスは当然最後になります。
ドリンクは暖かいものが飲みたくなり、ビーフコンソメスープをオーダー。
自分の数列前でスープが入ったボトルが空になり、CAさんが補充に戻っていた。ビーフコンソメスープは人気のドリンクなのだろう。
そんな訳で、最後部にいながら、出来立てアツアツのビーフコンソメスープを頂くことに成功。
しばらく前からカップの蓋が紙製になっているが、どうしても不安が大きく、外してしまう。。。
そうこうするうちに着陸。最後部席は降機も最後です。たまーにやるなら新鮮でいいです。
空港バスからの移動はバスを利用。定刻発車ではなく、フライトに合わせてくれます。乗車券の購入はキャッシュレスに対応していました。
【Playback of flight JL465 on 27 OCT 2023】
【セキュリティ事件簿#2023-386】慶應義塾大学病院 電話診療による処方箋発行申込フォームをご利用いただいた皆様へ 個人情報管理上の不備に関するお詫びとご報告 2023年09月28日
このたび、「電話診療による処方箋発行申込フォーム(※)」よりお申し込みをいただいていた患者様の個人情報が、慶應義塾の関係者が特定の操作を行った場合に閲覧できる状態になっていたことが判明いたしました。
本件の対象は、当該フォーム(※)によりお申し込みをされた患者様です。対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。
対象となられた患者様に多大なご迷惑とご心配をお掛けいたしましたことを深くお詫び申し上げます。経緯および対応については以下のとおりです。
詳細な調査に時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。
(※)「電話診療による処方箋発行申込フォーム」は、「新型コロナウイルス感染症に係る診療報酬上の臨時的な取り扱い」の特例措置を受けて実施していた電話診療による処方箋発行のための申込フォーム(Googleフォーム)ですが、特例措置の終了に伴い現在は終了しております。
1.概要
病院ウェブサイトのお知らせに掲載していた「電話診療による処方箋発行申込フォーム」(Googleフォーム)について、2022年末に一時申込を休止し、2023年1月5日(木)に申込を再開する際、誤って回答用のURLではなく管理用のURLを公開しておりました。
管理用のURLを開いた場合も通常は回答用のフォームが表示されますが、「慶應義塾共通認証システム(以下、認証システム)」にログインした状態で管理用URLを開くと、回答用フォームではなく管理用フォームが表示され、かつ、管理用フォームの「回答タブ」を選択して表示を切り替えた場合に、個人情報を含む過去の申込内容を閲覧することができる状態となっていました。認証システムのIDは、慶應義塾の教職員のほか学生、一部の卒業生等も所有しています。
2023年4月28日(金)にこの認証システムのIDを所有する患者様からご連絡をいただき、事態が判明いたしました。
誤って管理用のURLを掲載していた期間は、2023年1月5日13時頃から4月28日9時頃までとなります。
2.認証システムにログインした場合に閲覧可能となっていた情報
2020年5月11日から2023年4月28日までに「電話診療による処方箋発行申込フォーム」で申し込みをされた患者様(4,858名)の以下の情報です。
氏名、生年月日、住所、電話番号、メールアドレス、診察券番号、6カ月以内に診察を受けたか、薬が何日分残っているか、前回受診時から保険証が変わっているか、次回予約日、受診予定診療科、予約医師名または予約名、処方の受取を希望する薬局名・店舗名、薬局の住所・電話番号・FAX番号
3.事態判明後の対応
事態が判明した4月28日(金)に本来の回答用URLへの差し替えを行った上で、管理用フォームのアクセス権限を本来の管理者のみに変更し、それ以外の者が管理用URLで管理用フォームを開こうとしても開かないようにしました。併せて、同日より本件に関する原因の調査を開始しました。
また、閲覧されたアクセスの記録の調査を行いましたが、画面上で一定の操作を行った閲覧者においてはアクセス記録を確認することができ、その閲覧者はいずれも他人の情報は取得していないことを確認しています。
これらの状況については、5月2日(火)に「令和2年 改正個人情報保護法」に基づき、本件について国の個人情報保護委員会及び東京都福祉保健局及び大学の所轄官庁である文部科学省に報告いたしました。
当該フォームを利用された対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。
現在のところ今回の管理用URLへのアクセスを原因として、患者様に関する個人情報が不正に使用された事実は確認、報告されておりません。
4.再発防止について
このたびの事態が起こった原因は、Googleフォームの管理権限が本来の管理者のみに限定されず認証システムのID所有者全体についていたことと、申込再開時に誤って管理用URLを公開してしまったことにあります。
事態判明後は、Googleフォームの管理権限を必ず担当者に限定する、また、ウェブサイトを編集、公開する際には必ず複数人で内容を確認するなど、再発防止の対策を講じています。
慶應義塾大学病院では、医療個人情報の保護に関する規程を定めており、定期的な研修を実施するなど、個人情報の適切な管理に努めてまいりましたが、この度の事案により、患者様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
今後、教職員一同、個人情報の管理と運営に関する意識をより一層高め、再発防止に全力を尽くして参ります。
【セキュリティ事件簿#2023-385】浜松城北工業高校の貸出iPad事件:1168名の生徒のテスト成績が露呈
浜松市の静岡県立浜松城北工業高校で、学校が生徒と教職員に貸し出していたiPadが一部教職員の不注意により、2018年度から2023年度までの1168名の生徒のテスト成績及び評定が見られる状態になっていたことが静岡県教育委員会によって明らかにされました。
県教委によると、問題の根源は4名の教職員が割り当てられたアカウントからログアウトせず、その結果4台のiPadが教職員が保存していたデータにアクセスできる状態となっていたことです。このうち2名の教職員は担当授業の生徒名簿やテストの成績を保存しており、結果としてこれらのiPadを借りた任意の者が1168名の生徒のテストの点数や通知表の評定を閲覧できる状態になっていました。
事件は25日夜、学校のホームページに匿名の通報があったことで発覚しました。その後、学校は全校生徒にアンケート調査を実施し、テストの点数等を見たり、噂を聞いたりした生徒はいなかったことが確認されました。
再発防止策として、県教委は貸出用端末を教職員用と生徒用に明確に区別し、管理を徹底するよう指示しています。
しかし、この事件は学校の情報セキュリティ管理についての議論を呼び起こし、デジタル教育リソースが増加する中で、生徒と教職員の個人情報をどのように保護し、同様の情報漏洩事件を防止するかが教育機関と学校にとって深く考慮し解決する必要がある問題となっています。
【セキュリティ事件簿#2023-384】下仁田厚生病院 個人情報紛失のお詫びとご報告 2023/9/29
この度、下仁田厚生病院(以下「当院」という。)において、患者様の診療情報が保存された電子記録媒体(USBメモリ)の紛失が判明いたしました。
当院といたしましては、今般の事案を重く受け止めており、該当する患者様をはじめご家族の方、日頃より当院をご利用いただいております皆様に対し、多大なるご迷惑とご心配をおかけすることに深くお詫び申し上げます。
今後におきましては、院内の個人情報対策を強化し、再発防止策の徹底に努めてまいります。
なお、現時点で、本件に係る個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。
1.概要
当院では、医療事務を受託業者へ委託しておりますが、当該受託業者が診療報酬明細書点検業務を行うにあたり、院内において患者様の診療記録情報を保存している当院の端末から週1回の頻度でUSBメモリを活用して受託業者が所有する端末にレセプトデータの移管作業を行っており、その過程において、所定の場所にUSBメモリが無いことが判明し、院内を捜索したものの発見に至りませんでした。
2.個人情報の項目
紛失したUSBメモリには、令和5年6・7月分の外来患者様及び入院患者様2,013件分の診療記録情報が保存されておりました。
紛失した患者様の情報は以下のとおりです。
・氏名、性別、生年月日
・傷病名
・保険者番号
・被保険者証記号番号
・受診日等の診療行為情報
※患者様の住所や電話番号は含まれておりません
3.二次被害の可能性の有無とその内容
USBメモリは院内での紛失と認識しており、外部に流出した可能性は低いと考えておりますが、レセプトデータには傷病名や診療行為といった要配慮個人情報を含みます。
第三者に流出した場合には患者様への不審な連絡が生じるなどの可能性が考えられます。
4.再発防止策
受託業者に対し、十分な再発防止策を講じるよう指示しており、個人情報取り扱い規定の周知徹底、業務に直接携わる者以外も含めた個人情報取り扱いに関する再教育、及び定期的な監視・モニタリング体制の整備等に取り組み、委託元として管理監督を徹底して参ります。
また、当院の職員においても、同様に個人情報の取り扱いには十分に留意し、再発防止の徹底に努めてまいります。
5.対応
(1) 紛失への対応
本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。
(2) 該当する患者様への対応
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。
【セキュリティ事件簿#2023-208】日本国際協力センター 社会保険業務で使用する外部システムへの不正アクセスについて 2023/09/28
当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス(以下、「本事案」)を受け、サービス提供の停止を余儀なくされておりました。
このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。
1.事態の概要
2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。
①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム(以下、「エムケイシステム社」)社から2023年6月5日(月)に本事案に関する連絡を受けた。
②2023年6月6日(火)に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。
③個人情報保護委員会宛本事案の速報を行った。
その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。
不正アクセスによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース(https://www.mks.jp/company/topics/)をご参照ください)。
なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。
2.対象となり得る方
当センターと雇用契約を締結したことのある方ならびにその被扶養者
3.対象となるデータの項目
氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)
(注)なお、マイナンバーは流出の恐れの情報範囲には含まれていません。
4.原因
エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。
5.二次被害又はそのおそれの有無及びその内容
エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。
【セキュリティ事件簿#2023-383】株式会社ECC 不正アクセスによる個人情報流出の可能性に関するお知らせとお詫び 2023/09/29
この度、弊社においてECC学習支援システム「インターセクション」開発サーバーへの不正アクセスが確認されました。2023年9月12日に第三者による不正アクセスを確認し、改めて事実関係を調査いたしましたところ、同5月16日以降、複数回の不正アクセスにより、本システム利用者のうち1,249名の生徒様の情報および教材情報の一部が流出した可能性があることが判明いたしました。
流出した可能性のある情報には、個人情報(氏名、ID、一部受講情報)が含まれておりました。情報流出の対象となった皆様、関係者の皆様には、大変なご迷惑とご心配をおかけしておりますことを心よりお詫び申し上げます。
※メールアドレス、性別、生年月日、住所、電話番号、クレジットカード情報は含まれておりません。
弊社では、これまでも個人情報取り扱い業務にあたっては、厳格な管理・運用を求め、情報管理の徹底に努めてまいりましたが、このような事態が発生したことを踏まえ、通信制限などセキュリティ強化を実施し、アカウントのID/パスワードにつきましてもより強固なものに変更するなど、再発防止策をすでに講じております。
本件につきましては、弊社内の開発サーバーの運用体制が不十分だったと重く受け止め、健全な開発運営が行えるよう改善に努めてまいります。
この度は生徒様・関係者の皆様に多大なご迷惑、ご心配をおかけしますこと、重ねて深くお詫び申し上げます。
登録:
投稿 (Atom)