プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報漏えい事件

08
(画像は年金機構のリリースより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

日本年金機構は、特定の年金加入者の情報が不正に持ち出されていることが判明し、元職員(懲戒解雇済み)が窃盗の容疑で逮捕されたと6月29日付で発表しました。

年金機構からのリリース文ならびに報道の情報を総合しますと、下記のようになります。
・今回の事件が発生したのは大阪市の淀川年金事務所である。
・社会保険庁(年金機構の前身)の時代の上司の指示に基づいて、特定の加入者の情報を持ち出していた。
・年金機構が定期的に実施している持ち物点検の結果、プリントアウトした個人情報を持ち出していることが判明した。
・今回判明したのは20名だが、数年間にわたり400人程度の情報を持ち出していたと思われる。
ということだそうです。

年金機構としては、持ち出された加入者に対しては、お詫びすると同時に、基礎年金番号の変更を行うとしています。また、全ての拠点において「検索履歴のチェック」「執務室内への監視カメラの導入」「執務室へのクリアバック以外での私物持ち込み全面禁止」など再発防止策を実行していくとしています。

http://www.nenkin.go.jp/oshirase/press/2017/201706/20170629.files/20170629.pdf

(私のコメント)
年金機構では、前身の社会保険庁だった2004年に、著名人や政治家の年金未納がマスコミ等で話題になった際に、職員による業務目的外閲覧が発生し、多数の職員に対して懲戒処分を行った経緯があります。当時から、検索履歴をしっかりと残す仕様になっているのだなと感心しておりました。今回の事件は大変残念なことですが、いつかは発覚する運命だったのだと思います。

(追記)
続報が出ました。元職員は見返りに現金10数万円を受け取っていた疑いがあるとのことです。また元上司は行政書士と並行して探偵業もしていたとのことです。
http://www3.nhk.or.jp/news/html/20170719/k10011064411000.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



image
(画像は同行WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

佐賀銀行(佐賀県佐賀市)は、高額預金者の情報が元行員により不正に持ち出され、外部の第三者に提供されていたと、6月19日付で発表しました。

今回持ち出されたのは、同行に1億円以上の預金を預けている169人の個人情報で、住所、氏名、電話番号、預金残高、口座情報などとのことです。

持ち出した元行員は、昨年10月に同行で発生した現金窃盗事件に関与したとして起訴されており、警察による調査により今回の持ち出しが発覚したとのことです。

http://www.sagabank.co.jp/oshirase/000885.php

(私のコメント)
ひとことで言ってとんでもない事件ですが、元行員には相当の不満がたまっていたんでしょうし、それが放置されてきたところに原因があるのだと思います。ですから、このような内部犯行を防ぐためには、公平な人事制度、日常的なコミュニケーション、内部通報制度など、情報システムの対応にとどまらない対策が求められるのだと再認識させられました。

また、何か情報が入りましたら、皆様にシェアいたしますね。



人材派遣大手の株式会社スタッフサービス(東京都千代田区)は、3月末に退職済みの社員が登録者の情報約1万5千人分を持ち出しており、社外に流出したと発表しました。

同社によると、流出したのは登録者・エントリー者の「氏名」「住所」「電話番号」「メールアドレス」など15,368名分とのことです。一部「時給金額」なども含まれているとのことです。


(私のコメント)
退職者による個人情報の持ち出し、以前からある問題です。名刺は誰のものかというような議論もありました。ただし、今回のように明らかにデータベースをごっそりと持ち出すような行為は法的にも道義的にも許されるものではありません。それは明らかなことです。










20170403 145743
(画面は同社のリリースより)

株式会社ジンズ(東京都千代田区・4月1日付でジェイアイエヌから社名変更)は、同社が運営する通販サイト「JINSオンラインショップ」に不正アクセスが行われたことにより、個人情報118万件が流出したと3月24日付で発表しました。

同社の発表によると、今回流出したのは
(1)メールアドレス、氏名、住所、電話番号、生年月日、性別 749,745件
(2)メールアドレスのみ 438,610件
とのことです。

同社では、今回の不正アクセスがWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を利用されたものであるとしています。

同社のプレスリリース
http://pdf.irpocket.com/C3046/o1Tt/dBxT/Avd4.pdf

(私のコメント)
「Apache Struts2」の脆弱性をついた攻撃が相次いでいます。GMOペイメントゲートウェイ社の事件もそうだったようです。自社のWebサーバーでこのフレームワークを使用されている場合には、今すぐに最新版へのアップデートを行ってください。

※関連情報
https://www.lac.co.jp/lacwatch/alert/20170310_001246.html
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
http://d.hatena.ne.jp/Kango/20170311/1489253880




20170310 225823
(画面は同社のリリースより)

GMOペイメントゲートウェイ株式会社(東京都渋谷区・プライバシーマーク認定事業者、ISMS認証取得済み、PCI-DSS準拠済み)は、同社のサーバーに不正アクセスが行われたことにより、東京都税クレジットカードお支払サイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトの利用者のクレジットカード情報と個人情報70万件以上が流出したと3月10日付で発表しました。

同社の発表によると、今回流出したのは
(1)東京都税クレジットカードお支払いサイトの利用者 約68万人
 クレジットカード番号、有効期限、メールアドレス
(2)住宅金融支援機構・団信特約料クレジットカード払いサイトの利用者 約4万人
 クレジットカード番号、有効期限、セキュリティコード、
 住所・氏名・電話番号・生年月日、メールアドレス
とのことです。

同社では東京都ならびに住宅金融支援機構、カード会社に報告して対策を協議しているとしています。また、セキュリティ専門会社によるシステム調査と警察への捜査協力も行うとしています。

同社のプレスリリース
https://corp.gmo-pg.com/news_em/20170310.html

(私のコメント)
今回の事件では、クレジットカード番号とカード有効期限、また一部はセキュリティコードがセットで大量に流出しており、かつ都税という公的な目的の支払いのために登録された情報が流出しているという点からも、かなり重大な事故と言えます。今後、カード情報の不正利用や個人情報の悪用が発生しないかなど、警戒が必要です。





20161031 104944
(画面は同社のリリースより)

公的住宅ローン「フラット35」の提携金融機関である株式会社優良住宅ローン(東京都新宿区)は、同社の社内メールの内容が外部に転送設定されたことにより、顧客の信用情報を含む個人情報約37,000名分が流出したと10月26日付で発表しました。同社に対しては、金銭を要求する脅迫メールも届いているとのことです。

同社の発表によると、9月10日から30日までの間、役職者5名のメールアドレスに届いたメールが、全て外部の特定のメールアドレスに転送する設定が行われており、大量の個人情報が流出したそうです。

流出した個人情報は、返済中の顧客の銀行口座情報・引落金額など、借入申込者の審査に必要な情報(連帯保証人など含む)、抵当権設定者の情報、つなぎ融資の利用者の情報、問い合わせ者の情報などで、基本情報の他に信用情報、メールアドレスなども含まれています。

同社では、10月14日から新規の融資申し込みを中止するとともに、警察・監督官庁・住宅金融支援機構(フラット35の実施者)などへの報告、セキュリティの専門会社への調査の依頼、お客様対応窓口の設置などの対応を取っているとのことです。

同社のプレスリリース
http://www.yuryoloan.jp/wp/wp-content/uploads/2016/10/20161026news_topics.pdf

(私のコメント)
社内メールを全て転送されての情報流出の事例は、あまり聞いたことがありません。特にこの会社の場合には、信用情報を含む、かなり重要な情報を電子メールで大量に送受信していたために、大きな被害になっています。内部の情報に詳しい人が関与している可能性もあるのではないかと思われます。







jtb
(画面は同社のリリースより)

旅行代理店大手の株式会社ジェイティービー(東京都品川区・プライバシーマーク認定事業者)は、3月にグループ会社が標的型攻撃を受け、顧客の個人情報739万人分が外部に流出した可能性があると、6月14日付で発表しました。

同社の発表によると、3月15日に取引先を装ったメールの添付ファイルを開いたことにより、グループ会社のi.JTB(アイドットジェイティービー)の担当者のパソコンがウイルスに感染したことをきっかけに、外部からの不正アクセスが行われたといいます。不正アクセスが検知され、JTB社内で調査した結果、3月21日に739万人分の顧客情報がデータベースから出力されてテキストファイル化されていたことが判明しました。その後、外部の専門家と共同して事態の詳細な把握を行い、社内検討を経て今回の発表に至ったとのことです。

ただし、現在までの調査において、出力されたテキストファイルが外部に持ち出されたかどうかは確認されておらず、同社としては流出の可能性としており、また被害の報告もないとしています。

なお、流出した可能性がある(データベースから出力されたテキストファイルに含まれる)個人情報は「氏名(漢字、カタカナ、ローマ字)」「性別」「生年月日」「メールアドレス」「住所」「郵便番号」「電話番号」「パスポート番号」「パスポート取得日」739万人分であり、そのうち有効なパスポート情報が含まれているのは約4,300件とのことです。

同社のプレスリリース
http://www.jtbcorp.jp/jp/160614.html

詳細な解説記事
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/061500549/

(私のコメント)
年金機構事件に引き続いて、また標的型攻撃による大規模な流出事件です。どのような組織であれ、標的型攻撃が行われれば、簡単に外部からの侵入を許してしまうということを前提に、社内のネットワークや情報システムの構成を考え直すことが喫緊の課題と言えます。「自分たちは大丈夫」という考えは捨て去らなければなりません。。。





torikizoku
(画面は鳥貴族からのリリースより)

焼き鳥チェーン店「鳥貴族」を展開している株式会社鳥貴族(大阪市浪速区・東証一部上場)は、加盟企業である株式会社ダンク(大阪市北区)が3月21日に車上荒らしにあい、社員のマイナンバー430件が流出する事件が発生していたと4月26日付で発表しました。

同社の発表によると、車上荒らしにあったのは3月21日の未明で、株式会社ダンクの社員が、税理士に郵送するために同社の社員430名分の扶養控除等異動申告書を段ボール箱に梱包し、大阪市中央郵便局へ移動する途中、大阪市内のコンビニエンスストアに立ち寄ったところ、路上で車上荒らしにあったといいます。

株式会社ダンクとしては、
(1)警察署へ被害届を提出(即日)
(2)鳥貴族への報告(4月5日)
(3)マイナンバーの取扱いに関する「重大な事態」として個人情報保護委員会へ報告(4月7日)
(4)社長から各従業員へ直接の謝罪と報告(4月14日以降)
などを行ったとのことです。

http://dank1.co.jp/ (本件に関しては公表していません)
https://www.torikizoku.co.jp/company/ (IRの一環としての情報開示を行っています)
http://v4.eir-parts.net/v4Contents/View.aspx?cat=tdnet&sid=1347156 (リリース文)

(私のコメント)
昨年10月にマイナンバーの発行が始まって以来、この規模の流出事件は初めてではないかと思われます。100件以上のマイナンバーが流出した場合には「重大な事態」として個人情報保護委員会への報告(認定個人情報保護団体や主務大臣経由も可能)が必要となり、同社もそれに従ったものです。一方で、影響を受ける可能性のある本人すべてに連絡がついたので、公表の必要はないと判断したものと思われます。今後、対象者については、マイナンバーの再発行の手続きが行われるのではないかと思われます。


キャプチャ
(画面は日本クレジット協会のWebサイトより)

2020年のオリンピック・パラリンピック東京大会の開催をターゲットに、経済産業省とクレジットカード業界をあげて国内においてクレジットカード等を安全に利用できる環境整備を進めています。そのために昨年立ち上げられたクレジット取引セキュリティ対策協議会が、一年間の討議を経て、2月23日に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画〜2016〜」を発表しました。

実行計画の内容は多岐にわたるものですが、その中で期間を区切っての具体的な目標が出てきました。
(1)カード会社は2018年3月末までにPCI DSS準拠を完了すること。
(2)原則として、全ての加盟店はカード情報の非保持化をするか、PCI DSS準拠を行うこと。ネット販売などのEC加盟店は2018年3月末、対面加盟店は2020年3月末を期限とする。
(3)EC加盟店は、2018年3月末までに3Dセキュアやセキュリティコードによる認証など多面的重層的な本人認証を講じること
(4)対面加盟店は、2020年3月末までにICカード対応を完了すること。

とのことです。具体的な期限が設定されたので、業界全体のセキュリティ水準の底上げが加速するものと思われます。

※PCI DSSとは、クレジットカード業界が定めたデータセキュリティの国際基準です。

http://www.j-credit.or.jp/
http://www.j-credit.or.jp/download/160223a1_news.pdf
http://www.j-credit.or.jp/download/160223a2_news.pdf

(私のコメント)
PCI DSSについては、かなり前から取得が呼びかけられて来ていましたが、期限が切られていなかったために、いまひとつ普及が進んでいなかった経緯があります。今回、カード情報を保持したいのなら加盟店もPCI DSSを取るようにということが明確になり、よかったのではないかと思います。



20151207_101859
(画面は三菱東京UFJ銀行Webサイトより)

三菱東京UFJ銀行は、11月30日付で、自社のテレフォンバンキングサービスにセキュリティ上の欠陥があり、主に出会い系サイトの利用者と思われる電話番号が過去半年間で1万7千件流出した可能性があると発表しました。

この事件、非常に分かりにくいのですが、こういうことのようです。

(1)三菱東京UFJ銀行のテレフォンバンキングサービスの「入出金明細照会」サービスにバグがあり、特定の操作をすると誰でも入出金明細(年月日、金額、振込者名など)を自動音声で聞くことができたようです。
(2)出会い系サイトを中心とする「会員制サイト」などでは、料金を振り込む際に「自分の名前」ではなく「自分の電話番号」を入力するように指定しているものが多く存在していたようです。
(3)悪意を持った第三者が、(1)のバグを利用して(2)の出会い系サイトが指定する口座の入出金明細を聞き出すことで、「出会い系サイトの利用者の電話番号を大量に知る」ことに成功したようです。

実際に、出会い系サイトの利用者に対して、架空請求詐欺の電話がかかったことにより、今回の事件が発覚しました。同行では、テレフォンバンキングサービスのバグ修正を実施し、フリーダイヤルを設置して被害を被った人に対応していくとしています。さらに過去に遡っての調査も行うとしています。

http://www.bk.mufg.jp/news/news2015/pdf/news1130.pdf

(私のコメント)
三菱東京UFJ銀行のテレフォンバンキングのバグが長年放置されていたことが最初によろしくないことですが、それを知って、特定の状況を組み合わせて架空請求詐欺にまでつなげた第三者も凄いなと思います。かなりの知能犯ですね。



総務省発行文書

(画面は総務省のWebサイトより)

10月20日から、全国の全ての世帯に対して、マイナンバーをお知らせするための「通知カード」が日本郵便の簡易書留を使用して送付されていますが、いくつかの郵送事故が発生し、11月2日付で、総務省は再発防止を要請する文書を発行しています。

日本郵便や総務省の発表、ならびにその他の報道などによりますと、発生した郵送事故は下記のようなものです。

●高知県安芸郵便局で、不在配達票により本人から受け取りたいとの申し出があったが、局内で通知カードが紛失。自治体側に再発行を要請。
●千葉県流山郵便局では、通知カードが別人に誤配送され、受取人からの申し出で未開封のまま回収。正しい住所に送付された。
●青森県五所川原郵便局では、通知カード2通が郵送途上で紛失。拾得物として届け出があり回収。正しい住所に送付された。
●石川県珠洲市で、簡易書留で送付されたはずの通知カード21通が、ポストへ投函されていたことが判明。配達員が自らサインをしていたという。

(私のコメント)
マイナンバーに関しては、行政も民間も一般の国民もピリピリしてます。日本郵便の配達の皆さんも前例のない規模の簡易書留の取扱いで大変かと思いますが、しっかりとお願いしますね!





20151028_171319
(画面は読売新聞Webサイトより)

数日前より、自分のマイナンバーを自分のBlog上で公開している男性がおり、話題になっておりました。彼はマイナンバーの記載された自分の住民票を取得し、それをスキャンして自分のBlogに掲載していました。

10月28日付の読売新聞のWebサイトにおける報道によりますと、マイナンバー制度を管理している「特定個人情報保護委員会」は、マイナンバー法違反の疑いがあるとして、10月27日付でこの個人とサイト運営会社に対して、文書で削除要請を出したとのことです。

彼はマイナンバー制度に反対の考え方を持っているようです。

http://www.yomiuri.co.jp/national/20151028-OYT1T50010.html

(私のコメント)
Blogで自分のマイナンバーを公開している人がいると知り、当初、私は「え?マイナンバー法罰則適用第一号か?」と早とちりしたのですが、マイナンバー法の罰則の部分を何度読み返してもこの行為は「処罰」自体の対象にはなりそうになく、驚いた次第です。ただし、違法であることは間違いありませんので、特定個人情報保護委員会が削除要請を出したということのようです。よい子の皆さんは真似しないようにしていただきたいと思います。


↑このページのトップヘ