画像：宇部市より引用 山口県宇部市は2022年12月19日、勤務中に住民基本台帳システムおよび戸籍システムを利用し、個人情報の不正取得および証明書を発行したとして、50代職員を停職1年の懲戒処分にしました。 宇部市によると職員は2022年9月頃、祖父の相続不動産に関する法定相続人の情報を収集する目的で、勤務時間中に住民基本台帳および戸籍閲覧を行いました。また、職員は証明書発行を繰り返し、相続に必要な相関図を作成していました。 職員はその後、作成した相関図を司法書士に提出し、相続登記手続を依頼するとともに他の相続人5名に私的な文章を送付しました。ところが、自身の住所を知られていることに不審を感じた相続人が、宇部市に問合せたことから一連の不正行為が発覚。 宇部市はこのため、職員を停職処分にする決定。さらに職員を刑事告発すると説明しています。 参照職員の懲戒処分等について

画像：公益社団法人消費者関連専門家会議より引用 公益社団法人・消費者関連専門家会議は2022年12月15日、同会のホームページが第三者によるサイバー攻撃を受けていたと明らかにしました。 説明によると、同会は外部からの不正アクセスが確認されたことにより2022年11月25日よりホームページの休止措置を講じていました。その後、外部専門家の協力のもと、復旧およびセキュティ強化等の対策を講じることに成功したため、公開再開を決定しました。 同会はサイバー攻撃の影響について現時点で個人情報等の流出は確認されていないとしています。ただし、公表すべき重要な事項が判明した場合、別途公表する形になるとのこと。今後はセキュリティ対策および監視体制の強化により再発防止に努めるとしています。 参照ホームページ再開のご報告

画像：朝日新聞社より引用 大手新聞社の朝日新聞社は2022年12月2日、同社事務局がオンデマンド配信番組の案内メールを誤送信したと明らかにしました。 同社によると、誤送信したのは2022年11月28日に発信されたもので、医学部進学相談室「医師を目指す君たちへ」の配信案内メールです。原因は担当者による送信形式の指定ミスによるもので、メールアドレス56先に外部一斉送信する際、本来「BCC」とすべきところを「CC」欄にアドレスを入力し送信しました。 同社はこのため、送信先となった56先に対して誤送信を謝罪し該当メールの削除を依頼しています。また、今後は申込完了と同時に配信される自動送信メールにオンデマンド視聴URLを入れるよう設定するなどの対策を盛り込み、再発を防止するとしています。 参照メール誤送信・メールアドレス漏洩のお詫び

画像：国土交通省中国地方整備局より引用 国土交通省中国地方整備局は2022年12月2日、同局建政部計画・建設産業課に所属する職員が66社の個人情報を含む文章を添付した電子メールを外部に誤送信したと明らかにしました。 中国地方整備局によると誤送信は2022年11月21日に発生したもので、職員が建設業を営む66社の担当者名が含まれた文章を添付したまま、4社に送信するミスを起こしたとのこと。2022年11月30日になり、職員がミスに気付き発覚しました。 中国地方整備局は誤送信判明後、送信先となった4社に連絡を取り削除を依頼しました。また、流出対象となった66社の担当者について個別に連絡を取り、報告および謝罪しているとのこと。今後は送信前の確認を徹底するなどして再発を防止するとしています。 参照メール誤送信による個人情報の流出について

画像：大阪府より引用 大阪府は2022年11月24日、大阪府が委託する「聴覚に障がいのある子どもの言語獲得支援事業」の受託事業者が電子メールの誤送信を起こし、サービス登録者のメールアドレス157件を流出したと明らかにしました。 誤送信は2022年11月14日、受託事業者の担当者が外部一斉送信における送信形式の指定ミスを起こしたことによるものです。説明によると、担当者は登録者157名に外部メールを同時送信する際、アドレスを「BCC」欄に入力すべきであるにも関わらず「To」欄に入力したまま送信処理を行ったとのこと。外部メール発信時は誤送信対策としてダブルチェックなどが求められますが、実施していませんでした。 誤送信はメール送信後、事業者に所属する別の従業員が気付き発覚しています。受託事業者はこのため、登録者全員に説明および謝罪し、メールの削除を依頼しました。 なお、大阪府は委託者として、受託事

岐阜地方検察庁は2022年12月2日、地検に所属する30代職員が使用権限のないIDやパスワードを利用し人事情報に不正アクセスしたと明らかにしました。 情報によると、職員は2021年3月～2022年7月にかけ、過去業務により取得したIDとパスワードを利用し、検察庁のネットワークシステムに不正アクセスしていました。職員の目的は人事記録などの内部情報で、自己の評価を知るために複数回に渡り閲覧していました。 岐阜地検は職員の行為が不正アクセス禁止法に抵触する疑いがあるとして、戒告処分にしました。刑事責任は不起訴となりましたが、依願退職したとのことです。 参照岐阜地検の検察事務官が内部ネットワークに不正アクセス

画像：和歌山県より引用 和歌山県は2022年10月、県職員による相次ぐ情報流出事案に対して緊急対策を実施すると明らかにしました。 和歌山県によると、2022年に発生した流出事案は公表時点で15件となっており、2013年以来最多を記録しているとのこと。内訳にはファックス誤送信やホームページ誤掲載などが含まれるものの、最多は電子メール誤送信で合計8件が確認されています。 和歌山県はこのため、情報流出の防止に向けた緊急対策を公表しています。 説明によると、同県では職員全体にBCC送信ルールや個人情報の取扱いに関する研修動画の閲覧およびレポート提出を求めるとのこと。さらにパソコン起動時に注意を促すメッセージを表示するほか、年度内に電子メール発信後数分間は取消可能なシステムを搭載し、流出を防止するとしています。 参照メールの誤送信による個人情報の漏えい事案等について/和歌山県 参照若手はメールのBC

画像：公益財団法人日本骨髄バンクより引用 公益財団法人日本骨髄バンクは2022年9月30日、骨髄バンクドナー登録者の氏名や一部伏字の氏名合計29件が記録されたスマートフォンを紛失したと明らかにしました。 日本骨髄バンクによると、問題のスマートフォンは職員がコーディネート業務に使用していたもので2022年9月21日、本来の収納場所から所在不明になっている事実が判明したとのこと。報告を受けた日本骨髄バンクは、職員の自宅や通勤経路などを捜索しましたが発見に至っておらず、また、問題のスマートフォンは紛失直前に電源がオフになっていたため、リモートによる追跡やデータの初期化にも成功していない状況です。 日本骨髄バンクによると紛失したスマートフォンのメールデータには、2021年8月～2022年8月にかけコーディネートに協力したドナー2名の氏名や27名の一部伏字の氏名が記録されていました。日本骨髄バンクで

出典：総務省ホームページ 自治体（地方公共団体）における情報セキュリティポリシーの策定を推進するため、総務省が作成した「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、2001年3月30日に策定され、セキュリティ環境の変化とともに数回の改訂が行われています。今回は、2015年の年金機能の情報漏れにより、総務省より通達された「三層の対策」から最新の2022年3月改訂までの遷移をまとめました。 自治体のセキュリティは「三層の対策」がベース 2015年11月。総務省は、自治体情報セキュリティ対策の抜本的強化に向けた報告書をまとめ、各自治体に対して、「三層の対策」での情報セキュリティ対策を求めました。 三層の対策とは 既存の住基、税、社会保障などのマイナンバー利用事務系では、端末からの情報持ち出しを不可に設定し、住民情報流出を徹底して防止。 人事給与、庶務事務、文書管理などの

大潟村農業協同組合（JA大潟村）は2022年9月16日、運用するJAシステムにサイバー攻撃が発生し、情報が流出した可能性があると明らかにしました。 説明によると、JA大潟村では現在、セキュリティー会社の協力のもと調査・復旧を進めているとのこと。公表時点で詳しい原因や経緯は明らかにされていませんが、判明次第、公表するとしています。 JA大潟村によると、サイバー攻撃の影響で情報流出の懸念も生じています。公表時点で不正利用被害などは確認されていませんが、原因等と同様に判明次第、公表するとしています。 参照JAシステムへの不正アクセスによる個人情報流出の可能性について/大潟村農業協同組合

画像：大阪市より引用 大阪市は2022年8月15日、市が実施している「大阪市認知症高齢者等見守りネットワーク事業」の受託事業者にて電子メールの誤送信が発生し、事業の対象となった高齢者らの個人情報合計80件が流出したと明らかにしました。 同事業は認知症などにより見守りが必要な高齢者らを対象に展開している支援サービスです。事業は市から受託事業者に委託されていましたが、西淀川区の受託事業者が協力者に支援対象となる高齢者の個人情報4件を送信する際、本来のメールアドレスと異なる誤った宛先を登録・送信した事実が判明したとのこと。 大阪市がこのため、他の区にも流出の有無を確認したところ、港区および旭区においてもそれぞれ1件の登録ミスが起きており、それぞれ1件、75件の情報が送信されていました。大阪市は対象者らに謝罪。誤送信先に削除を依頼していますが、公表時点で連絡が取れていません。 大阪市はミスの原因に

画像：厚生労働省より引用 厚生労働省は2022年8月15日、国が指定し同省が収集する難病患者のデータファイルを研究者に提供する際、ミスにより本来削除されるべき5,640名分の個人情報を記載したまま提供したと明らかにしました。 説明によると同省は2022年6月27日、研究者に難病患者のデータファイルを提供しました。ところが2022年8月5日なり提供を受けた研究者から「個人情報が記載されている」旨の報告があり、判明しました。 同省が確認したところ、提供を受けた研究者は7施設に所属していましたが、実際にファイル提供があったのは5施設・6名であると判明。同省は流出が事実であると判断し、患者に謝罪するとともにコールセンターを設置。対応に当たるとしています。 第三者提供を一時停止と発表 厚生労働省によるとファイル流出はデータ抽出過程に生じたミスにより起きています。 同省が明かしたところによると、該当業

画像：名古屋商工会議所より引用 名古屋商工会議所は2022年7月5日、会議所のネットワークを標的としたサイバー攻撃が確認され、所内のサーバーが暗号化され機能不全に陥ったと明らかにしました。 情報によると、2022年7月4日の20時頃、会議所が運用するシステムサーバーが異常を検出。会議所がこれを調査したところ、サーバーが外部からのサイバー攻撃によりウイルス感染し、データが暗号化されたことにより、動作に支障が発生したと判明しました。 名古屋商工会議所は現在対応策を講じています。 具体的には、暗号化被害を受けたシステムの復旧に取り掛かるほか、セキュリティ調査結果を踏まえた情報セキュリティ対策の実施および監視体制の強化を講じる予定とのこと。 なお、被害内容から攻撃はランサムウェアによるものと見られますが、公表時点で流出は確認されていません。 参照本所システムサーバーへのウィルス感染と不正アクセスに

画像：名古屋大学より引用 名古屋大学は2022年6月28日、同大情報連携推進本部で運用しているQ＆Aシステム（情報システムに関する問い合わせシステム）がSQLインジェクション攻撃を受け、システムに保存されていたメールアドレス2,086件に流出の可能性があると明らかにしました。 説明によると、2022年5月16日にQ＆Aシステムログを確認したところ、攻撃の痕跡と思われる痕跡が検出されました。同大が調査したところ、攻撃者は2022年5月10日～2022年5月15日にかけ複数にわたりSQLインジェクション攻撃を仕掛け、情報流出を目論んでいました。 SQLインジェクション攻撃とはウェブサイトに運用側が意図しないSQLと呼ばれるコードを注入し、情報流出を引き起こすサイバー攻撃です。通常、システムは情報流出が起きないよう設計されていますが、悪意のある人物が提供側が想定していない文章を注入し、被害を及ぼ

画像：リョービ株式会社より引用 ダイカストの世界的メーカーであるリョービ株式会社は2022年5月11日、同社の中国にある海外グループ会社の社内サーバーがランサムウェアに感染したと明らかにしました。 攻撃を受けたのは同社が中国大連市に展開する「利優比圧鋳（大連）有限公司」です。説明によると、攻撃は2022年4月26日に確認されたもので、サーバー内のデータが暗号化されたことによるシステム障害が発生しているとのこと。 同社は事案把握後、対象サーバー等をネットワークから遮断し、関係当局に報告。外部専門業者らと連携して復旧対応を取り、2022年4月27日には操業再開に至りました。なお、公表時点で内部情報の流出やグループ企業への影響は確認されていないとのことです。 増加懸念されるランサム被害 ランサムウェアによる被害が増加しています。 警視庁は2022年5月に入り、2021年下半期に確認された国内企業

画像：月桂冠株式会社より引用 月桂冠株式会社は2022年4月6日、同社の運用するサーバーにて第三者からの不正アクセスが確認され、社内システムに障害が発生したと明らかにしました。 説明によると、同社では2022年4月2日より社内システムに障害が発生しており、これを調査したところ、原因が外部からの不正アクセスと判明したとのこと。 同社はこのため、社内システムの運用サーバーを一時停止し、外部とのネットワークの遮断を決定。現在は手口や被害状況を確認するため、関係機関に報告のうえ、外部専門家と協力し調査している状況です。 事実判明すれば公表か 月桂冠株式会社によると、不正アクセスによる攻撃は事実であるものの現在調査中であるため、攻撃者の侵入経路や原因および情報流出有無も判明していません。 ただし、同社は今後、公開すべき事実が判明した時点で、改めて公表すると発表。顧客など関係先に謝罪しました。 参照当