事故から学ぶ

不正アクセスによる個人情報流出の可能性のお知らせとお詫びについて 株式会社白崎コーポレーション

事故概要

業種 民間企業
発生時期 2021/8/30
漏えい人数 100000
事故概要

この度、当社グリーンナップ事業にて使用するお問合せ管理システムにおいて、第三者からの意図的な不正アクセスを受けたことが判明いたしました。
事案判明を受けて速やかに調査したところ、不正アクセスを受けたシステムの中にある個人情報が流出した可能性があることを確認いたしました。
その後、弊社の名前を騙る非常に悪質なメールが流出していることを本日(2021年8月30日)確認いたしました。大変申し訳ございませんが該当する不審メールを受け取ったお客様につきましては、絶対に文面に記載されたexeファイルのダウンロードなどを行わないでください。また、不審なメールにつきましては即刻削除していただくよう、お願い申し上げます。既に警察にも相談し、捜査をお願いしております。
本件に関するお問い合わせ窓口(コールセンター)を、9月1日から開設予定です。不明な点がありましたら、コールセンター開設が遅くなり大変申し訳ございませんが、そちらの窓口に問い合わせをお願い申し上げます。
弊社は今回の事案を重く受け止め、お客様をはじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。今後は警察の捜査に全面的に協力していくほか、社内の個人情報保護対策を強化し、再発防止策の徹底に努めてまいります。
【事故の概要】
お問合せ管理システムへ第三者による意図的と見られる不正アクセスがあり、弊社が取り扱う個人情報が流出した可能性があることを確認いたしました。
■発覚日時
2021年8月17日(火) 8:30ごろ
■発生場所
福井県鯖江市石生谷町11-23 弊社グリーンナップ事業のお問合せ管理システム上
■流出した可能性のある件数
現時点で最大10万件
■流出した可能性のある情報
弊社が取り扱う個人情報
(住所、氏名、電話番号、FAX番号、メールアドレス、お問合せ履歴、購入履歴)
※クレジットカード情報、ログインID、パスワードは流出しておりません
【対応内容】
本件発覚後、速やかに下記の各対応を行うとともに、それぞれ、引き続き対応を進めております。
・不正アクセスされたシステムを外部ネットワークから切り離し(8月17日)
・その他の被害の有無等をシステムログにて調査(8月17日)
・不正アクセスされたシステムのセキュリティ強化改修(8月18日)
・警察署へ通報(8月18日)
・個人情報保護委員会への報告(8月23日)
【お客様へのお願い】
非常に悪質なメールが流出していることを本日(2021年8月30日)確認いたしました。大変申し訳ございませんがメールを受け取ったお客様につきましては、絶対にメールに記載のexeファイルのダウンロードなどを行わないでください。また、不審なメールにつきましては即刻削除していただくよう、お願い申し上げます。
本件に関するお問い合わせ窓口(コールセンター)を、9月1日から開設予定です。不明な点がありましたら、コールセンター開設が遅くなり大変申し訳ございませんが、そちらの窓口に問い合わせをお願い申し上げます。
【再発防止策】
・セキュリティ会社によるお問合せ管理システムのセキュリティ審査を実施します。
・外部の専門家による社内の個人情報保護体制の強化に取り組みます。
・従業員への研修などを通じた個人情報保護意識の向上を図ります。
現時点において「お問合せ管理システム」以外の当社サービスにおいて、同様の不正アクセスは確認されておりません。万全を期するため引き続き調査を実施し、皆さまにご安心いただけるサービスの提供に努めてまいります。社会に信頼される企業としての責務を再認識し、再発防止策を徹底して個人情報保護の強化を進めてまいります。

引用元 株式会社白崎コーポレーション

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。