自分の個人情報が漏えい・流出被害の対象でないことを確認するためのサイトです。 ISO27001(情報セキュリティISMS)、JISQ15001(プライバシーマーク)取得企業は、他の企業の対応事例を参考にして下さい。 自らの非を認め、公表してくれる企業は、信頼できる企業ということがいえます。
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
個人情報の漏えいに関するお詫びとご報告(最終報)
平成24年12月21日
株式会社ウィルゲート
代表取締役 小島 梨揮
平成24年10月1日(月)、株式会社ウィルゲートが運営する「保険ゲート」において、社内業務用メーリングリストを使用してメールを送信した際、送信先のメールアドレスに社外の無関係なメールアドレス13件がメーリングリストに登録されていたために、お客様の個人情報と契約ファイナンシャルプランナー様の個人情報が掲載されたメールが、この社外の無関係なメールアドレスにも配信されてしまうという事故が発生致しました。今回の事故で漏えいした情報の中に保険ゲートにお申し込みになられたお客様の情報が含まれていることが分かりました。
本件につき、ご利用のお客様を始め、取引先も含めた関係各方面の皆様に多大なるご迷惑をおかけしましたこと、大変申し訳なく、改めまして深くお詫び申し上げますとともに、現在までの対応及び社内調査委員会による調査結果につきまして、下記の通り、ご報告いたします(お客様への対応および再発防止策は継続して実施いたしますが、個人情報漏えいに関する調査は、下記の調査結果をもって最終報告といたします)。
1.本件事故により漏えいした個人情報の内容(現在までに確認できている内容)
(1)平成24年4月1日から平成24年6月27日の期間に保険ゲートをお申込みになられた方の個人情報
(氏名、生年月日、職業、住所の一部[都道府県市区町村]<5,905件>)
(2)平成24年6月28日から平成24年9月30日の期間に保険ゲートをお申込みになられた方の個人情報
(氏名、生年月日、職業、電話番号、メールアドレス、持病情報、服用薬、世帯年収、配偶者情報
<5,588件>)合計 11,493件
(3)弊社と契約関係にあるファイナンシャル・プランナー様の個人情報(氏名、会社名、電話番号、メールアドレス)249件
2.事故の概要
弊社では、弊社メディア事業用メーリングリストを使用して、保険ゲートにお申込み頂いたお客様の上記個人情報を、メディア事業担当部内で共有しておりました。
平成24年10月1日、社内管理の一環として、メーリングリストの登録メールアドレスを精査しておりましたところ、弊社で使用しているメールアドレスとは異なるメールアドレスが13件登録されていることが発覚致しました。
3.現在までの経緯
(1)平成24年10月1日、発覚後、当該の異なるアドレス13件混入の経緯を調査すべく、保険ゲート個人情報漏えい調査委員会を設置。代理店をとおしてメーリングリスト提供事業者にログの確認・提出依頼を行い、混入の時期の特定作業に取り掛かりました。
なお、保険ゲート個人情報漏えい調査委員会は、取締役1名、関連部署部長・マネージャー2名で構成されています。
(2)同時に登録者の情報の確認、登録個人情報の確認作業を行いました。期間途中の平成24年6月28日以降は業務確認に必要となる個人情報の項目(電話番号、メールアドレス、持病情報、服用薬、世帯年収、配偶者情報)をメールで共有するようになったため、登録時期の違いに注目しながら、全メールの内容の精査を行いました。
(3)平成24年10月11日、本件をJUAS(一般社団法人日本情報システム・ユーザー協会)、及びJIPDEC(一般財団法人日本情報経済社会推進協会)に報告。同時に、利用者への告知準備を行いました。また、社内調査の結果、メーリングリストへの13件のアドレスの登録につき、外部からの不正アクセスの可能性も考えられため、10月15日、所轄警察署の代表電話に被害相談を行い、対処要領の指導を受けました。
(4)平成24年10月18日、利用者のデータ精査等の作業が完了したため、DMにて全該当者向けの告知及び謝罪文を送付いたしました。
(5)平成24年10月19日、本件の概要・事実経過をホームページ上に開示し、以降随時、情報を更新。同日、コールセンターを開設し、お客様からの各種問い合わせ対応を開始しました。お客様に対し、二次被害防止のための情報提供と注意喚起を継続的に実施しております。
(6)平成24年10月20日、弊社の「保険ゲート」の運営は当面自粛し、同サイトは、しばらくの期間、停止させて頂きました。また、お客様のご要望に応じて、登録個人情報は削除させて頂いております。
(7)平成24年10月24日、メーリングリストサービスとPCのログインパスワードの運用ルールを定め、変更を実施しております。
(8)平成24年11月6日、JUAS(一般社団法人日本情報システム・ユーザー協会)より、本件につき、改善勧告を受けました。
(9)平成24年12月21日、JUAS(一般社団法人日本情報システム・ユーザー協会)の改善勧告に対応致しました。
4.本件発生の原因
このような事態が生じた原因については、可能な限りの調査をおこなってまいりましたが、これ以上の原因解明は見込めません。
これまでのところ、第三者によりお客様の個人情報が不正に利用された事実は確認されておらず、二次被害は報告・確認されておりません。
5.弊社の見解
弊社の情報管理体制の甘さから、本件事態が発生したことを厳粛に受け止め、深く反省をしております。漏えいの対象となった利用者の皆様には社を挙げ誠心誠意対応させていただく所存です。利用者の皆様に対しまして、ご心配とご心痛をおかけしました、深くお詫び申し上げます。
6.再発防止に向けて
(1)メーリングリスト登録権者を固定した上で、メーリングリストにて個人情報を記載したメールを送信する際には登録アドレスを確認するよう義務付けました。
(2)ハッキング等が原因である可能性もあることから、外部からの不正アクセス防止策を更に強化する施策を講じました。
(3)弊社個人情報保護方針に関する取り組みの強化をより一層推進し、社員の個人情報の管理意識を高めます。
(4)「保険ゲート」の管理システムより送信されるメール本文に一切個人情報が入力されないようプログラムを修正しました。それにより、「保険ゲート」の運営の中で個人情報が記載されたメールを送受信することが無くなりました。
(5)メーリングリストサービスとPCのログインパスワードの運用ルールを強化し、変更を実施しました。今後も継続して、定期的(四半期に1回)に、変更を実施してまいります。
今後、同様の事態が決して発生しないよう、全社一丸となって、これまで以上に個人情報の安全管理の徹底に努めてまいります。
7.調査結果
(1)当初メーリングリストサービスの弊社管理者(7名)へ原因の特定を目的とするヒアリングを行いましたが、原因を特定することはできませんでした。また、内部不正によるものとの確認もできませんでした。
(2)初動の段階でメーリングリスト提供事業者から取得したログ(平成24年4月1日~平成24年10月1日)を確認・解析しましたが、取得できた期間中のログの中に弊社管理者が13件のメールアドレスを当該メーリングリストへ追加したような操作ログはございませんでした。
(3)また、操作ログの中に外部のIPアドレスから不正操作(不正アクセスないし遠隔操作)によるアドレスの混入を確認できる証跡はございませんでした。さらに、メーリングリストサービスの弊社管理者が使用しているPCにて毎週水曜日深夜に自動実施されるウィルスソフトのチェックログを分析したところ、弊社システム管理者のPCがウイルスに感染していた痕跡はございませんでした。
(4)社内のPC数台について、過去のメールの送受信履歴を全て確認し、今回確認された13件のアドレスへのメール送受信の痕跡等の確認を行いましたが、13件のアドレスとの送受信の履歴は認められませんでした。
(5)代理店経由でメーリングリスト提供事業者に対して、平成24年4月1日以前のログの提供を再三依頼してまいりましたが、メーリングリスト提供事業者ではログを過去6ヵ月分までしか保存していないので、それより過去のログを提供することはできないとの回答を受けております。また、メーリングリスト提供事業者に、不正アクセスの痕跡の調査等可能な範囲での原因特定調査を依頼しておりましたが、調査不可能との回答を受けました。
(6)平成24年10月11日、同年10月12日の2回、13件のメールアドレスには、受信したメールの削除と調査協力の依頼をおこないました。その結果、13件中5件がすでに存在しないメールアドレスであることがわかりました。
(7)平成24年11月13日、第3者調査機関にメーリングリストサービスの弊社管理者かつ、保険ゲートの運用担当者が使用していたPC2台のフォレンジックス調査を依頼しました。その結果、弊社内部の管理者及び担当者の作業が個人情報漏洩の原因であるとの証拠は発見されませんでした。
8.今後の対応について
平成24年10月1日から可能な限りの調査をおこなってまいりましたが、これ以上の原因解明は見込めせん。また、JUAS(一般社団法人日本情報システム・ユーザー協会)改善勧告に対応し考え得る再発防止策を施しておりますので、平成24年12月21日をもって一旦調査を終了いたします。今後も皆さまの信頼を回復できるよう、さらなる改善と再発防止に努めてまいります。
現在のところ、個人情報の漏えいがあったお客様から二次被害の報告はございません。今回の件により、直接的に何らかの損害を被ったことが明らかなお客様には、個別に誠心誠意対応させて頂きたいと考えております。
※FAQはこちらで公開しております。http://www.willgate.co.jp/20121221_qa.html
9.処分
今回の件に関し、お客様ならびに関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、経営陣の責任を明確にするため、以下の社内処分を行います。
① 代表取締役 小島 梨揮 6ヵ月間の月額報酬25%減額
② 専務取締役 吉岡 諒 3ヵ月間の月額報酬25%減額
③ 取締役 佐藤 卓也 3ヵ月間の月額報酬25%減額
【お問合せ窓口】
株式会社ウィルゲート 個人情報外部対応事務局
電話:03-6809-0346(平日 9:30~18:30)
※平成24年12月27日(木)までご利用いただけます
情報ソース
http://www.willgate.co.jp/20121221.html
PR
この記事にコメントする