事故から学ぶ

個人情報等の漏えいに関するお詫び Nitto

事故概要

業種 民間企業
発生時期 2021/4/30
漏えい人数 未発表
事故概要

このたび、外部業者を装ったメールへの弊社従業員によるアクセスにより、弊社が保有していたお客様の個人情報が漏えいした恐れがあることが判明いたしました。
社内調査の上、個人情報等が漏えいした可能性のある方には、個別にお詫びとご説明をさせていただいております。
お取引先様をはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。
弊社では、このたびの事態を厳粛に受け止め、誠心誠意、適切な対応をさせていただくとともに、 再発防止に努めて参ります。
本件に関して引き続き調査の結果、新たな事実を確認した場合には、改めてご報告いたします。
現時点で判明している事実等につきまして、下記の通りご報告いたします。

1.経緯
令和3年4月30日(金)に会社貸与のスマートフォンに外部業者を装ったSMSが届き、 アカウント・パスワードを入力。その後、スマートフォンのサービス通知により、第三者による不正アクセスが行われたことが判明いたしました。
2.漏えいした可能性のある情報の内容
・お取引先ご担当者様の会社名、氏名、電話番号(一部メールアドレスを含む)
・お取引先ご担当者様の名刺情報
・販売プロモーション用の動画 等
3.弊社の対応
・お取引先様への対応
個人情報等が漏えいした可能性があるお取引先ご担当者様には、個別にお詫びとご説明をさせていただいております。
・行政機関への報告
5月12日(水)、個人情報保護委員会に報告いたしました。
4.再発防止策
対策委員会を設置、従業員に対してアカウントの適切な管理、情報端末ならびに個人情報の取り扱いについて、指導を徹底いたします。
5.本件に関するお問合せ先
弊社 経営インフラ部門人事総務部TEL:(03)6631-1661(代表)まで、お問い合わせください。
なお、在宅勤務実施に伴い、固定電話がつながりにくい状況が想定されます。
その際には、お手数をお掛けしますが、弊社ホームページ内よりお問い合わせいただくようお願いいたします。
お問合せフォームをご利用頂く際には、問合せカテゴリ「その他のお問い合わせ・ご提案」を選択頂きお問い合わせをお願い致します。

引用元 Nitto

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

会社貸与のスマートフォンに外部業者を装ったSMSが届き、 アカウント・パスワードを入力してしまい第三者による不正アクセスが行われた事案。スマートフォンの不正アクセスが報道されることは珍しい

具体例:

SMSを利用してIDPWを抜き取り、不正アクセスしてきた。今のスマホはPCなみの能力がある一方で、日常的に無防備に使用されているのでスマホの情報管理が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。