タグ: 個人情報漏洩

東京海上ホールディングス 出向先の三菱UFJ銀行から顧客情報3.7万人分不正取得

東京海上日動火災保険と東京海上日動あんしん生命保険は2/21、三菱UFJ銀行に出向していた複数の社員が2020年から24年にかけて同行の顧客情報を出向元に漏洩していたと発表しました。

東京海上ホールディングス

東証プライム上場企業は東京海上ホールディングス。その子会社で国内損害保険事業の中核を担うのが東京海上日動火災保険。国内生命保険事業を担当するのが東京海上日動あんしん生命保険という組織の体制です。この両社から三菱UFJ銀行に出向していた社員達が、三菱UFJの顧客情報等を持ち出していたという事案です。

事案の概要

東京海上日動火災保険からの出向者が、法人顧客28社分の情報を、東京海上日動あんしん生命保険からの出向者が、個人顧客 37,843名分、法人顧客8社分の顧客情報等を出向元へ漏えいしていたということです。メガバンクで損害保険大手の出向社員による情報漏洩が確認されたのは初めてだそう。

顧客情報以外にも、銀行におけるデジタルトランスフォーメーション施策に関する業務資料や、行員向け研修資料なども持ち出されていたということです。これらが営業秘密に該当するとなれば、不正競争防止法などに触れる可能性もあります。この事案、出向社員の過失だけでは済まされそうにないですね。

ソフトバンク 代理店社長が顧客情報不正持ち出し

ソフトバンク携帯電話の顧客の銀行情報等を不正に持ち出したとして、警視庁サイバー犯罪対策課は、携帯電話販売代理店の元社長を不正競争防止法違反容疑で逮捕しました。ソフトバンク携帯を契約する際に顧客が入力した情報を、写真撮影やコピーをすることで不正に取得していたようです。

情報取得の場面

ソフトバンクの保有する情報が漏れたのではなく、あくまで代理店で顧客が契約のためにタブレットに入力した個人情報を、写真撮影やコピーといった方法で不正に取得しています。調べに対して「法に触れるとは思わなかった」と供述しているとか。

ソフトバンクのプレスリリースによると、2015年から2018年に同社と契約手続きを行った顧客の情報、6,347件が不正に取得されていたとのこと。情報の内容は住所、氏名、生年月日、連絡先電話番号、携帯電話番号から料金支払いの金融機関名と口座番号まで。

情報利用の場面

問題はこの抜かれた情報がどうなったか、ということですね。上記の顧客のうち、62件で金融口座からの不正引き出し被害が発生しているそうです。例のドコモ口座やペイペイなどに不正にチャージして商品を購入し、これを転売して金を手にしていた、例の事件ですね。

この不正引き出し事件で逮捕された容疑者の持っていたパソコンから出てきた個人情報。これを追跡して、ソフトバンク販売代理店から持ち出されたものであることが発覚したというわけです。

金融機関の口座暗証番号はどこからも不正取得されていないようですから、犯人が入手した個人情報の中に、暗証番号と同じ文字列があったりした顧客等が被害にあったということでしょうね。

なお、不正引き出しの犯人のパソコンには約9,500件の個人情報があったとのこと。同じ代理店で契約をしていた格安携帯電話などの顧客らの情報も含まれていたようです。

楽天 148万件の情報流出の可能性 楽天市場 楽天カード 楽天Edy

楽天は148万件の企業・個人の情報が流出したおそれがあることを公表しました。データを管理する外部のクラウドシステムのセキュリティー設定で、人的ミスがあったといいます。なんと恐ろしいことに、この設定ミス、約5年間続いていて、外部からのアクセスが可能な状態だったそうです。

流出した情報

大きくは楽天市場、楽天カード、楽天Edyから情報流出としています。楽天市場においては楽天市場への法人向け資料請求者および店舗情報が。楽天カードにおいては事業者向けビジネスローン申込者情報。楽天Edyにおいては故障した端末の残高移行サービス申込者情報が、それぞれ流出した可能性があるということです。

クラウドにおける設定ミス

楽天のお知らせでは、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備、、、と表現されていますが、どうやらこれ、セールスフォース・ドットコムのクラウドサービスのようですね。このサービスを使う企業は結構多いらしいです。

報道ではあまり見ませんが、12/7、加盟店に関する情報などを管理するシステムが不正アクセスを受けていたことを公表したPayPayも、同じセールスフォースのサービスを利用していたみたいです。

PayPayの方は「第三者からの不正アクセスを受けた」という表現をしていましたが、楽天のお知らせでは「不正アクセス」という言葉は使われていませんでした。あくまで「社外の第三者による海外からのアクセス」と表現しています。

セキュリティの設定を間違えていて、社外からもアクセスできるよう扉を開けてたんだから、アクセスは不正とは言えない。。。そんな判断もあったんでしょうかね。

いずれにせよ、セールスフォース・ドットコムのクラウドサービスが狙われているのは確かでしょう。この後も同様の情報流出のニュースが出てくるかもしれません。ご利用企業のシステム担当者の皆さんは速やかに設定の点検を!!!

東建コーポレーション 不正アクセスによる情報流出 三菱電機も

東建コーポレーションは11/17、同社とグループ会社のネットワークが第三者による不正アクセスを受け、グループが保有する個人情報が外部に流出した可能性があることを公表しました。流出の可能性を確認したのは10/20としていますから、1ヶ月もかかっています。

最大657,096件

東建グループ全体で保有している個人情報(法人情報含む)を保管していたサーバーが狙われたということで、最大で65万件の情報が外部流出した可能性があるとのこと。東建コーポレーションはじめ、子会社のナスラック、柔道チャンネル、ホテル、ゴルフ場、ホームメイトなどなど。

サイトやらメルマガなどで登録された個人情報がダダ洩れです。同社ホームページでは各種サービス名と当該サービスにおいて、顧客のどのような個人情報が流出したのかが分かるようになっています。

が、しかし、このホームページに行かなければ、当然ですが何も分かりません。TDnetへの開示もしていません。おまけにこのニュースを伝えた日本経済新聞の11/18付け朝刊は、子会社のナスラックのサイト利用者の情報が流出という誤報に近い状況でした。

不正アクセスを受け、情報流出の可能性が判明したら、出来るだけ早く顧客にそれを伝えるべきです。自社のホームページでお知らせを掲載、、、だけではどうかと思います。

三菱電機も

三菱電機でも、同社が利用するクラウドサーバーがサイバー攻撃を受け、同社と取引のある国内企業や個人事業主の金融口座情報が流出した可能性があることを公表しています。最大で8,635件の金融機関情報が流出した可能性があるとのこと。同社もやはり開示はしていません。

そういえば、今年1月にも不正アクセス被害受けてましたよね、三菱電機。あの時も初報では大したことなかったけど、1か月後、実は防衛関係の情報が流出、、、みたいな展開でした。

愛知県 新型コロナウイルス患者に関する非公開情報を誤掲載

愛知県で新型コロナウイルス感染症に関するWebページ上に、5月5日午前9時30分頃から午前10時15分まで、県内発生事例1例目から495例目までの患者に関する非公開情報を誤って掲載してしまうという事故が発生しました。

非公開情報

非公開情報という言葉が使われていますが、個人情報かつ機微情報ですね。誤って掲載した内容とは、患者の氏名、入院先医療機関、入院日、転院先医療機関、転院日、退院日、発生届提出保健所、クラスターの名称及び分類だそうです。

本来の公開内容は、発表日、年代・性別、国籍、住居地、接触状況、備考(県、名古屋市又は中核市別の発生事例番号) です。誤って掲載した内容の方には、「接触状況」の項目が見当たりません。一方で「クラスターの名称及び分類」というのがあります。

おそらくこれが患者の感染場所や、患者同士の関係性を説明している項目だと思われます。どこの誰がいつ感染したのか。また誰と(もしくはどこで)接触したことで感染したのか。くらいの情報が漏洩したということのようです。あと、医療機関名も気になりますね。

ヤバいね、これ

5月4日はWebページの作成者と承認者が同一人物であったため、ダブルチェックができていなかった。ことを発生原因と公表しています。掲載は5月5日ですが、掲載登録の作業は5月4日の21時半ころとされています。それ以上は触れられていませんが、テレワークの事故だったかもしれませんね。

しかし、これヤバいです。家族間で接触・感染という事実であればともかく、家族等の関係のない個人と個人の関係が想像出来ちゃったりするわけで。苦情も殺到しているようです。転載などの二次利用は確認されていないということですが、、、。