【セキュリティ事件簿#2023-416】千葉市 委託事業者による個人情報の流出可能性事案の発生について

千葉市において、国民健康保険被保険者情報が流出した可能性があることが判明しましたので、お知らせします。

市民の皆さまへ多大なご心配をおかけしておりますことにお詫び申し上げます。

なお、このことに関して、現時点で市や事業者から電話などでご連絡することはありません。詐欺等に十分ご注意ください。

1 概要

平成27年度に本市が実施した国民健康保険被保険者の特定健康診査未受診者電話勧奨業務について、株式会社NTTマーケティングアクトProCX(以下、委託事業者という)に委託したところ、委託事業者が運営に当たって利用したコールセンターシステムの保守事業者であるNTTビジネスソリューションズ株式会社において、当該システムの運用保守業務に従事していた元社員(1人)が、不正に個人情報を取得し、第三者に流出させた可能性がある旨、10月16日(月)に委託事業者から報告がありました。

<参考>特定健康診査未受診者電話勧奨業務について

40歳から65歳までの国民健康保険被保険者を対象に、生活習慣病予防を目的に実施している特定健康診査の前年度未受診者に対し、電話により受診勧奨を行うもの。

2 委託期間

平成27年9月30日~平成28年2月29日

3 流出した可能性のある個人情報

平成27年度中に特定健康診査の対象となった国民健康保険被保険者情報 

約5万件分(住所、氏名、氏名カナ、性別、年齢、電話番号)

4 対応状況等

・10月17日(火)午後に委託事業者が記者会見を行い、本事案を公表しています。

  ※委託事業者は以下の通り相談窓口を開設しています

    株式会社NTTマーケティングアクトProCX お客様相談窓口

    電話 0120-220-614(受付時間 9時~20時)

・市における個人情報の流出可能性事案に関して、10月17日に個人情報保護委員会に報告しています。

・今後、委託事業者の社内調査で得られた電話番号データと本市が所有する情報を照合し、流出した人数を確定する予定です。流出した恐れのある方に対してのお知らせ方法に関しては、現在検討中です。決まりましたら、こちらのホームページで公開します。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-418】カシオ計算機 不正アクセスによる個人情報漏えいのお詫びとご報告

 

カシオ計算機は、当社のICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」のシステムへの不正アクセスにより、「ClassPad.net」に登録されている国内外の一部のお客様の個人情報が、外部に漏えいしたことをお知らせします。

お客様をはじめ関係者の皆様にご迷惑とご心配をおかけいたしますこと深くお詫び申し上げます。

概要

当社が管理運用する「ClassPad.net」の開発環境のデータベースに対して、外部からサイバー攻撃が行われ、その結果そのデータベースに含まれていた国内外の一部のお客様の個人情報が漏えいしました。なお、開発環境のデータベース以外については、不正侵入の形跡がないことを確認しております。

経緯

本年10月11日(水)夕方、担当者が開発環境での作業を試みた際にデータベースに障害が発生していることが発覚し、事態を把握しました。

事態の解析を進める中で海外在住者の個人情報の外部漏えいの事実については、10月12日(木)夕方に、確認しました。

原因

現時点では、所管部門におけるシステムの誤操作、及び、不十分な運用管理により、開発環境のネットワークセキュリティ設定の一部が解除状態であったことが確認されております。これにより第三者が不正アクセスできる状況であったことが原因と考えております。

現在の対応

現在、攻撃対象となった開発環境のデータベースは全て停止しております。
なお、10月16日(月)に個人情報保護委員会と日本情報システムユーザー協会(プライバシーマーク審査機関)に報告しました。

また、外部のセキュリティ対応専門機関に相談・依頼して本件に係る更なる内部調査と原因分析、対応策の検討を継続し、外部法律事務所に依頼の上当局対応を含めた法的対応・措置を検討・実施するとともに警察への相談も行っており、捜査に協力してまいります。

漏えいした個人情報

①氏名 ②メールアドレス ③国/地域 ④学校名・学年・学級名・出席番号(学籍番号)

⑤購買に関する情報( 注文明細 、決済手段、ライセンスコードなど)※1

⑥本サービスの利用履歴やニックネームなど

※1, クレジットカード情報は保持しておりません。

対象となるお客様の件数※2

<国内>

個人と1,108の教育機関の計91,921件

<海外>

148の国と地域のお客様の計35,049件

※2, 2023年10月18日時点。件数に変更があった場合は改めて公表いたします。

Labels:

【セキュリティ事件簿#2023-417】長野県南佐久郡佐久穂町 電子記録媒体(USB メモリ)の紛失について

 

佐久穂町役場の庁舎内で使用している電子記録媒体(USB メモリ)が庁舎内で紛失し、個人情報を含むデータが外部に流出した可能性を完全に否定できない事案が発生しました。関係の皆様及び町民の皆様に多大なご迷惑をおかけすることになりましたことを深くお詫び申し上げます。

再びこのような事態が起こらぬよう、情報及び情報記憶媒体の適正な管理を徹底し、必要な対策を講じて、再発防止に努めてまいります。

1 概要・経過

令和 5 年 10 月 4 日(水)に、住民税務課の職員から町税の口座振替業務を行うために使用している USB メモリが紛失しているとの報告がありました。同職員からの報告によると、令和 5 年 9 月 27 日(水)に町税の口座振替業務を行った際に USB メモリを使用し、その後職場のキャビネットで保管していたつもりでしたが、令和 5 年 10 月 3 日(火)に所定の場所にないことを確認しました。その後、捜索を行っていますが、発見に至っていません。

紛失した USB メモリには、4,138 名 4,740 件の口座情報(金融機関名、支店名、口座番号、口座名義等)、口座振替額が保存されています。なお、USB メモリにパスワード設定はされていませんでした。

現時点では、USB メモリの紛失による当該個人情報の不正使用や第三者への被害などの事実については確認されていません。

2 関係者への対応

個人情報が漏洩する可能性のある 4,138 名に対しては、令和 5 年 10 月 9 日(月)に、状
況の説明と謝罪の文書を発送しました。

3 再発防止策

再発を防止するために、次の対策を徹底します。

ア USB メモリは、パスワード等のセキュリティ機能があるものを使用すること。
イ USB メモリを使用する場合には、使用管理簿に記入すること。
ウ 使用後は USB メモリ内のデータを削除すること。
エ USB メモリは施錠可能な引出し等に保管し、施錠すること。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-416】福岡県 委託業務による個人情報の漏えい等事案について

1 概要

本県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCX(以下「A社」という。)のコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社において、元社員(1人)が不正に個人情報を取得し、流出したことが発覚しました。

このため、A社から10月13日(金)に本県に事案概要を報告されたもの(現在、警察による捜査中)。

<委託期間>

 平成27年度 平成27年6月11日~9月30日

 平成28年度 平成28年6月9日~9月25日

 平成29年度 平成29年5月31日~9月25日

 平成30年度 平成30年6月6日~10月15日

 令和元年度  令和元年5月31日~10月15日

2 漏えいした可能性のある個人情報

自動車税に関する納税者情報 最大約14万人分※

(氏名、電話番号、郵便番号、住所、年齢、生年月日)

※ 人数については、A社の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

3 対応

A社は本日、相談窓口を設置するとともに、プレスリリースを行う。

A社からの情報については、随時、県HPにて周知を行う。

県は本日、個人情報保護委員会に報告。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-416】株式会社NTTマーケティングアクトProCX NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)

当社(株式会社NTTマーケティングアクトProCX)が利用するコールセンタシステムの運用保守業務を担うNTTビジネスソリューションズ株式会社(以下、NTTビジネスソリューションズ)において、同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)がお客さま情報を不正に持ち出し、第三者に流出させていたことが判明いたしました。

不正に持ち出されたお客さま情報は、当社へテレマーケティング業務を委託いただいていた一部のクライアントさまのお客さま情報であることを確認しました。

クライアントさま並びにクライアントさまのお客さまへ多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

1.概要

当社が利用するコールセンタシステムを提供するNTTビジネスソリューションズの同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、お客さま情報を不正に持ち出し。

(1)不正に持ち出された件数

お客さま数:約900万件 クライアント数:59(現時点判明分)

※今後新たな情報が判明いたしましたら、随時公表してまいります。

(2)不正に持ち出されたお客さま情報の内容

クライアントさまよりお預かりしたお客さま情報(氏名/住所/電話番号等)

2.本件に関する対応と再発防止策

当社及びNTTビジネスソリューションズは、今回の事案を厳粛に受け止め、クライアントさまのご不安の解消に向けて対応いたします。

まず、本テレマーケティング業務については、システム面および運用管理面から緊急的な対処策を講じ、新たに不正な情報持ち出しが生じることを抑止しました。さらに、今後、お客さま情報を取り扱う全業務について再点検を実施することで、個人情報管理体制の一層の強化を図ってまいります。加えて、当社及びNTTビジネスソリューションズの従業員に対して、これまで以上に情報の取り扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関わる当事者意識の醸成を図ってまいります。

3.クライアントさまへのご対応について

クライアントさまのお客さまへの対応に向けて、クライアントさまのお考えをお伺いしながら、お客さまの特定に向けた対応を始めています。また、その後のお客さまへの対応については、クライアントさまのお考えをお伺いしながら、クライアントさまに真摯に向き合って対応してまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-415】島根県立大学 個人情報が入ったノートパソコンの盗難について(お知らせとお詫び)

 

本学浜田キャンパスの教員が海外出張から帰国した際、空港で個人情報が入ったノートパソコンを盗まれました。この件についてお知らせし、お詫び申し上げます。

学生の皆様、保護者の皆様、ご関係の皆様には、ご心配をおかけすることとなり申し訳ありません。深くお詫び申し上げます。今後は、盗難を想定した情報保護のための具体策を含め、情報管理の更なる徹底に全学を挙げて取り組んでまいります。

1.盗難の概要について

9月22日(金)、本学浜田キャンパス教員が海外から帰国した際、鉄道の券売機で操作に困っている方の対応をしていた間にノートパソコンが入ったスーツケースを盗まれました。すぐに警察に被害届を提出しましたが、いまだ見つかっておりません。

なお、ノートパソコンにはパスワードを設定しており、現時点では、個人情報の第三者への流出や不正使用による被害などの事実は確認されていません。

2.盗難物品について

機内持ち込みサイズのスーツケースとサブバッグ
(スーツケースの中にノートパソコン1台が入っていた)

3.ノートパソコンに保存されていた個人情報について

①浜田キャンパス学部学生98名分の個人情報を一覧にした Excel ファイル。
②①のうち、学部学生が提出した課題レポート42名分。

※本学としては、この事案は国内で発生した事件で、犯人はいまだ捕まっておらず、盗まれた物品も見つかっておりません。そのため、対象となる個人情報についての詳細は、追加の被害が発生する可能性がありますので、公表は差し控えさせていただきます。

4.本件に関する今後の対応と再発防止策等について

①該当する学生の皆様には、10月11日までに本件に関するご報告と謝罪を学内メールにて行うとともに、被害への注意喚起、相談窓口をお知らせし、安心安全な大学生活が送れるよう教職員にてサポートして参ります。

②本学教職員に対する個人情報管理、情報機器等の保管及び管理の徹底をあらためて周知するとともに、より個人情報管理が徹底されるよう、学内で検討を行い、あらたな対策を実施します。

Labels:

【セキュリティ事件簿#2023-414】株式会社テイツー お客様の個人情報流出についてのお詫びとお知らせ

 

当社は、「ふるいち イオンモール幕張新都心店」のオープン(2023 年 10 月 19 日予定)に先立って、同店のグランドオープン記念として、トレーディングカードの web 事前抽選の受付を、当社の「ふるいち店舗情報サイト」(https://www.furu1.net/index.html)上で、2023 年 10 月 9 日 18:00 ごろから開始しました。

しかしながら、受付開始後複数の抽選申込者様から、抽選申込の入力内容確認画面において、抽選申込者様とは異なる個人情報が表示されるとのご指摘をいただき、20:00 ごろに抽選受付を停止しました。

本事案の発生を受け、当社内に同日中に「緊急対策本部」を設置し、影響範囲の調査を開始しました。現時点で上記の約 2 時間の間に抽選申込をされた抽選申込者様約 770 名の入力情報が、他の申込者様の入力内容確認画面に表示された可能性があることが判明しております。

また、ご指摘をいただいた抽選申込者様の他に同様の現象が発生していないかどうかを、「ふるいち店舗情報サイト」の保守委託先である株式会社サイト・パブリス(東京都千代田区九段南一丁目 4 番 5 号、代表取締役社長 二通 宏久)と共同で調査を行っております。

なお、流出した可能性のある個人情報は、氏名、生年月日、住所、電話番号、メールアドレスであり、クレジットカード情報等の決済に係る情報は含まれておりません。また、現時点で該当ページにおける抽選受付は停止しており、今後、上記の現象により新たな流出が生じる懸念はないものと考えております。

ご指摘をいただいた抽選申込者様をはじめとした本 web 事前抽選に関係する皆様に対し、多大なるご迷惑とご心配をおかけしておりますことをお詫びするとともに、当社の関係者の皆様に対してもご懸念を抱かせてしまいましたこと併せてお詫び申し上げます。上記調2査の進捗に応じて本 web 事前抽選に関係する皆様に個別に対応を行い、並びに調査結果及び再発防止策を速やかに取りまとめ、準備が整い次第改めて開示することをお知らせいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-413】積水ハウス株式会社 弊社委託先企業におけるお客様名等の外部漏えいの可能性について


弊社が換気基礎捨て水切などの製造を委託しております山口金属曲板工業株式会社(本社:大阪市阿倍野区、以下「山口金属曲板工業社」)小郡事業所(山口県山口市)の生産システムサーバーがランサムウェアに感染し、不正に暗号化されたことにより、弊社部品の発注データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。お客様をはじめ多くの関係者の皆さまにご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月 19 日、弊社委託先の山口金属曲板工業社から、同社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になったとの連絡を受けました。サーバー内には、過去 15 年分の弊社部品の発注データが存在しており、当該データの中に、お客様の氏名(一部の方は建築地住所を含む)が含まれておりました。当該データについては外部に漏えいした可能性があります。
  • 生産システムについて代替手段を講じたことにより、弊社委託業務への影響は生じておりません。
  • 本件に関しては、弊社より個人情報保護委員会に報告をするとともに、山口金属曲板工業社より所轄警察署への相談を行っております。

【漏えいした可能性のある情報及びお客様への対応】

漏えいした可能性のある情報の範囲及び項目等につきましては、以下のとおりです。

対象範囲
弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日~2023年 10 月 23 日の間に着工または着工予定のお客様

項目
氏名のみ 109,406 件
氏名及び建築地住所 1,261 件

二次被害の有無:現在、お客様の氏名等の不正利用は確認されておりません。

※弊社発注データにお客様の情報が含まれていることが確認でき次第、順次郵送もしくはメール等でご連絡をいたします。そのため、ご連絡までに時間を頂く可能性がございますが、何卒ご容赦ください。

【原因及び再発防止策】

  • 本件は弊社委託先の生産システムサーバーの脆弱性により、ランサムウェアに感染したことが原因です。当該委託先においては保守ベンダーの変更等のセキュリティ向上施策を行いました。
  • 現在、弊社の生産調達部門の全委託先に対し、システムサーバーに対するウイルスチェックの実施要請を行い、状況の確認を進めております。また、委託先に存在する過去の発注データをネットワーク外で管理することや、データを削除することも要請いたしました。今後、委託先の情報セキュリティに関する監督強化の施策を行い、発注データの仕様変更等の対策を実施しますとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。
Labels:
登録: 投稿 (Atom)