事故から学ぶ

アイディホーム株式会社 個人情報漏えいに関するお詫びとお知らせ

事故概要

業種 民間企業
発生時期 2021/4/1
漏えい人数 7000
事故概要

このたび、弊社の物件をご購入いただきました一部のお客様につきまして、個人情報の一部が漏えいした事実が確認されました。本件につきましては現在も調査を続けており、今後新たな情報が判明する可能性がございますが、現時点で確認できている事実関係の概要は下記に記載の通りです。新たにお伝えすべき情報が分かり次第、適宜、弊社ホームページにて公表してまいります。
なお、現時点では、漏えいした個人情報を取得及び使用していた第三者(以下「流出先業者」といいます。)を特定し、当該個人情報の回収・廃棄を完了しておりますので、今後、お客様への被害が及ぶ可能性は低いものと考えております。お客様に多大なご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。

1.漏えいが確認された個人情報
2007 年2 月から2018 年12 月の期間に弊社東海エリアで物件をご購入いただいたお客様の個人情報(氏名、住所、電話番号、物件の引渡し日)約7,000 件
※漏えいが確認された項目に銀行口座情報、物件の購入価格等の情報は含まれておりません。
2.発覚と対応の経緯
本件に係る発覚と対応の経緯は、以下の通りです。
2021 年4月
・物件をご購入いただいたお客様より、弊社の下請業者と称する業者から配管の無料点検の勧誘電話があったとのお問い合わせをいただいたため、当該業者に対し、弊社社名を騙った勧誘電話の差止と経緯の説明を求める通知を行う。
2021 年 5 月
・当該業者が保有していた顧客リストと弊社のお客様情報と照合した結果、弊社が管理していたものの一部であることが確認される。(この時点で個人情報の流出を認識)
・顧客リストを保有していた流出先業者が勧誘業者に顧客リストを提供したことが判明する。
・個人情報保護委員会に本件を相談し、その指示に従い、関東地方整備局(国土交通省)へ報告を行う。
2021 年6 月
・適宜、個人情報保護委員会にも相談を行い、社内調査並びに流出先業者及び勧誘業者に対しての調査を継続中。
3.現状確認されている被害
2021 年 4 月上旬より勧誘業者が約1,200 名のお客様に対して、電話等による勧誘を行ったことを確認しております。
また、勧誘による有償の工事やサービスは行われていないことを確認しております。
4.個人情報の漏えいが確認されたお客様への連絡
対象のお客様に対して、個別のご連絡・ご説明をさせていただいております。
5.再発防止について
現在、個人情報を含めたお客様の情報は専用のシステムにて厳重に管理しておりますが、本件においては、当該システム導入前に漏えいが発生した可能性が高いと考えております。この度のお客様の個人情報の漏えいという事態を重く受けとめ、当該システムのセキュリティを見直し、セキュリティ対策の強化を行っております。

引用元 アイディホーム株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

クラウドサービスだからといって不正アクセスを完全防御できるわけではない。重要資産を扱うサービス会社は金になるため最新の手口で集中的に攻撃を受けている。攻撃を受け続けていることへの防御策と、攻撃を突破されたさいの対応策は別物であり、特に後者は被害を最小限度に抑えるために利便性に制限があっても暗号化などの対策は必須である。選択の余地はない。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。