画像：森永製菓株式会社より引用 森永製菓株式会社は2024年6月18日、サーバー機器が外部からの不正アクセスを受け、同社やグループ会社の一部役職員等の個人情報が外部に流出したおそれがある旨を発表しました。 森永によると、同社は2024年4月9日にサーバー機器に発生した不審な動作を認知しました。その後、関係機関に報告し、外部調査機関による調査を実施したところ、同社やグループ会社に所属する役職員や委託業務従事者の氏名や所属、メールアドレス、社内システム用のIDやハッシュ化されたパスワード等、合計4,882件の情報において漏えいの懸念が生じました。 同社は現在、詳細を明らかにすべく調査を継続しています。公表時点で二次被害等、個人情報が外部に流出した明確な証拠は見つかっていないものの、漏えいを否定できないとして、対象者に個別に連絡を取るとしています。 参照不正アクセスによる役職員等の個人情報漏えい

最高裁判所は2024年6月3日、修学資金の貸与を受けている司法修習生に宛てた電子メールについて誤送信があり、就学生900名のメールアドレスが流出したと発表しました。 説明によると、最高裁判所は司法修習生に対して住所等の変更についての連絡するため、外部一斉メールを送信しました。ところが、配信メールのうち450名に宛てた電子メール2通について、本来「BCC」欄に入力すべきところを「宛先」欄に入力し送信していたとのこと。 最高裁判所は事態を受け関係者に謝罪。今後は原因を分析し再発防止策を検討するとしています。 参照修習資金の被貸与者に対する不要な個人情報の送信について/最高裁判所

画像：個人情報保護委員会より引用 個人情報保護委員会は2024年5月27日、大手動画サービスサイトYouTubeにて個人情報に関連する各種情報をマンガで伝える「個人情報保護委員会チャンネル」を開設しました。 個人情報保護委員会とは、内閣府の外局に位置する行政機関のひとつで、個人情報取扱いに関係する各種監視監督業務や個人情報保護評価に関する事務、相談や苦情に関係するあっせん事務などを担っています。業務には「広報・啓発」も含まれており、委員会は「個人情報保護委員会チャンネル」を開設しました。 「個人情報保護委員会チャンネル」の配信動画はいずれもマンガ形式で構成されています。配信内容は「SNSへの投稿」、「ダイレクトメール」、「アプリダウンロード」など一般向けのものが中心ですが、情報漏えい時における報告義務・対応方法の概要をまとめた「漏えい等報告と安全管理措置について」や従来型カメラとAIカメラ

これらの攻撃は、企業の信用失墜や多額の損失につながる可能性があります。 したがって、サイバー攻撃から組織を守るために、適切なセキュリティ対策が求められています。 サイバーセキュリティ意識向上の必要性 サイバー攻撃の多くは、従業員の不注意やセキュリティ意識の低さを突いて行われます。例えば、以下のような行動がリスクを高める要因となります。 安全性の低いパスワードの使用 不審なメールの添付ファイルを開く 個人情報を不適切に取り扱う セキュリティ対策ソフトの未更新 これらの問題を解決するには、従業員一人一人のサイバーセキュリティ意識を高め、適切な行動を習慣づける必要があります。 サイバーセキュリティトレーニングは、従業員のセキュリティ意識向上に効果的な手段の一つです。 組織のリスク管理におけるトレーニングの役割 サイバーセキュリティトレーニングは、組織のリスク管理戦略の一環として位置づけられます。

画像：全国漁業協同組合連合会（JR全漁連）より引用 全国漁業協同組合連合会（JR全漁連）は2024年5月17日、運営する通販サイト「JFおさかなマルシェ ギョギョいち」に対する不正アクセスにより、顧客のカード情報が漏えいした可能性があることを公表しました。 JR全漁連によると、2024年5月14日にサイトから個人情報が漏えいしている可能性について警視庁から連絡がありました。JR全漁連が調査したところ、何者かがサイトシステムに不正アクセスし、プログラムの一部を改ざん。情報を不正に入手していた可能性が判明しました。 漏えいの対象となるのは、2024年5月14日までにサイトを利用したユーザーの情報で、氏名や住所、電話番号等のほか、カード番号やセキュリティコード、有効期限等のクレジットカード情報についても懸念が生じています。 JR全漁連は現在、第三者調査機関に調査を依頼しています。関係機関への報告

画像：新日本プロレスリング株式会社より引用 新日本プロレスリング株式会社は2024年4月30日、同社が保有するファンクラブ「Team NJPW」の会員3万2,775名の個人情報が記録されたUSBメモリを紛失したと発表しました。 説明によると新日本プロレスリング社は2024年4月22日、後楽園ホール大会にて開催したファンクラブ会員向け撮影会の準備時、USBメモリの紛失を把握しました。把握後、同社は関係する場所等を捜索し、警察に遺失届を提出し捜査を依頼するなどしましたが、公表時点で発見には至っていない状況です。 新日本プロレスリング社によると、紛失したUSBメモリには同社が保有する会員や大会会員合計3万2,775名の個人情報が記録されていました。ただし、同社によると、対象のUSBメモリには高度なセキュリティ機能が設定されており、また、公表時点で不正利用等の二次被害も確認されていないとのことです

画像：大阪府済生会 富田林病院より引用 大阪府の富田林病院は2024年4月2日、同院に所属する職員の個人用パソコンが外部からの遠隔操作を受け、同院の一部患者の個人情報が漏えいした可能性があると明らかにしました。 富田林病院によると職員はインターネット操作中、事実に反するセキュリティ関連広告等を表示し連絡を促す「サポート詐欺」被害を受けました。影響により、職員のパソコンが約20分間ほど遠隔操作される事態が発生。事実を把握した富田林病院が調査したところ、被害を受けたパソコン内には特定診療科の患者のうち一部の個人情報が記録されていたこと判明しました。 富田林病院によると、専門化が実施したデータ検証において、被害を受けたパソコンから患者情報が抜き取られた形跡は確認されませんでした。また、公表時点で二次被害をも確認されておらず、漏えいには至らなかったとの認識を発表。関係機関や該当する患者に報告し、従

画像：独立行政法人高齢・障害・求職者雇用支援機構より引用 独立行政法人高齢・障害・求職者雇用支援機構（JEED）は2024年4月26日、JEEDが高齢者就職関連業務を委託している外部専門家・70 歳雇用推進プランナー（社会保険労務士等が就任）がいわゆるサポート詐欺被害に遭い、JEEDが保有する東京都内591社の企業情報や個人情報が漏えいした可能性があると明らかにしました。 JEEDによると委嘱先70 歳雇用推進プランナーは2024年3月11日、自身が所有するパソコンを操作中、いわゆるサポート詐欺被害に遭いました。プランナーのパソコンにはJEEDが業務上の理由から提供した企業情報や個人情報が記録されていましたが、プランナーが第三者の指示に従い遠隔操作用のソフトウェアをインストールしたため、約3時間の間、第三者がパソコンにリモート接続する状況が発生しました。 被害を受けたプランナーは提供を受け

株式会社東映京都スタジオは2024年4月17日、同社が運営する東映太秦映画村が実施するドラマ記者会見の一般参加者向け電子メールにおいて誤送信が発生し、応募者1,223名の個人情報を2名の当選者に漏えいしたと発表しました。 東映京都スタジオ社によると、誤送信メールは2024年4月15日に送信されました。メールは当選を通知するためのもので、スタッフ2名が担当し、71名に個別送信していましたが、このうち2名の当選者について応募者1,223名の情報を記載したリストを誤添付していたことが判明しました。 東映京都スタジオ社は誤送信について、担当者の確認不足によるものと説明しています。誤送信先の2名については同社が連絡を取り、情報削除の旨の連絡を受けているとのこと。同社は情報セキュリティポリシーの周知徹底を図り再発防止に努めるとしています。 参照メール誤送信による個人情報漏洩についてのお詫びとご報告/株

近年、サイバー攻撃の脅威は増大し、リモートワークの普及によりセキュリティリスクも高まっています。 このような状況下、企業は従業員への情報セキュリティ教育に力を入れる必要がありますが、効果的な研修を行うには適切な教材選定が重要となります。 そこで本記事では、社内の情報セキュリティ研修に活用できる優れた公開資料をご紹介します。IPA（独立行政法人 情報処理推進機構）や総務省、JPCERT コーディネーションセンターなどが提供する実践的なコンテンツを、自社の状況に合わせて選択することで、従業員の意識向上とセキュリティ対策の強化につなげましょう。 情報セキュリティ研修の必要性と背景 情報セキュリティ教育とは 情報セキュリティ教育は、従業員を対象に行われるセキュリティに関する幅広い研修活動を指します。具体的には、以下のような内容が含まれます。 サイバー攻撃やマルウェアの脅威に関する知識の習得 情報の

お茶の水女子大学は2024年4月2日、同大研究室で運用するサーバーが外部からの不正アクセスを受け、不正利用されたと公表しました。 説明によるとお茶の水女子大は2024年3月18日、外部機関から同大ネットワークに関する不審な通信について連絡を受けました。同大がネットワークを調査したところ、研究室で運用している計算用のサーバーが海外からの不正アクセスを受け、スパムメール発信の踏み台として利用されていることが判明しました。 不正アクセスの原因はサーバーやアカウントのセキュリティ不備です。お茶の水女子大によると、サーバー構築時に作成したアカウントに安易なパスワードが設定されたものがあり、これに対する大量のログイン試行が調査により判明。さらに対象サーバーは外部からリモート接続（SSH）に対する適切なセキュリティ対策が取られていませんでした。 お茶の水女子大は問題判明後、サーバーをネットワークから遮断

指定信用情報機関の株式会社日本情報信用機構（JICC）は2024年4月1日、同社が展開するスマートフォンアプリを利用した信用情報の開示サービスにおいて、第三者による不正な開示申込に対して、合計16件の信用情報誤開示が判明したと明らかにしました。 JICCによると2024年4月1日以前の約1週間において、何者が偽装した本人確認書類を利用して、数件の不審な申込を行いました。JICCは問題に気づき未然に開示を防ぎましたが、さらに過去の開示履歴を確認したところ、これまで合計16件、偽造された書類により第三者に情報を開示していたことが判明しました。 指定信用情報機関とは改正貸金業法に基づき、金融機関からの登録や本人からの照会に対して、個人の信用情報を開示している企業です。信用情報とは金融機関が融資実行の可否を判断するために信用情報機関に登録・照会している情報で、氏名や連絡先だけでなく、対象者の他の法

岐阜県は2024年3月22日、県の物品や女性職員の私物など窃盗を繰り返し、県のネットワークシステムに不正アクセスを行った、20代の主任技師の懲戒免職処分を発表しました。 免職となった技師は2018年7月頃から約5年間にわたり、女性職員ら9人のカーディガンや手帳のほか、県が管理するハードディスクなど少なくとも41件の窃盗を繰り返していました。また、技師は盗んだ手帳から女性職員のIDやパスワードを取得し、庁内のネットワークシステムに不正アクセス。女性職員が2名の給与明細や人事に関するデータを不正に抜き取っていたことがわかっています。なお、技師は女性職員が担当する公文書を隠匿するなどの行為にも及んでいました。 技師は県の聞き取りに対して、普通は手に入らない私物や情報が欲したこと、文書を隠し女性職員に話しかけてもらいたかったと説明。岐阜県は一連の事件を警察に相談しています。 参照女性職員の手帳盗み

画像：全国健康保険協会　愛知支部より引用 全国健康保険協会（愛知支部）は2024年3月19日、協会が加入事業所に宛てたメールを誤送信し、送信先事業所のうち494件のメールアドレスが漏えいしたと明らかにしました。 説明によると電子メールの内容は研修会アーカイブ動画の案内で、2024年3月13日に送信されました。メールは事業所の担当者1,326名に宛てたもので、2回に分割送信されましたが、うち494名に宛てたメールにて他社のメールアドレスを表示する「To」で送信していたことが判明しました。 協会は誤送信の原因について、送信時の確認不足と説明しています。協会では外部一斉メールを送信する際「BCC」にすべきとしていましたが、確認が徹底されず誤りが発生したとしています。 なお、協会は送信後、対象事業所に連絡を取りメールの削除を依頼。研修会に申し込んだ事業所1,348社に事情を説明しています。 参照メ

画像：株式会社コアモバイルより引用 システム開発事業社の株式会社コアモバイルは2024年3月13日、同社が管理する琉球銀行のキャッシュレスシステムにおいて、加盟店の代表者または担当者の本人確認資料画像データ3,719件が滅失したと明らかにしました。 説明によると、対象となるのは2020年6月22日～2024年2月1日にかけ、琉球銀行のキャッシュレスサービス「りゅうぎんキャッシュレスサービス」に申し込んだ加盟店関連の情報です。同社はシステム管理者として、加盟店代表者や担当者の本人確認資料画像データを業務システム内に保存していましたが、誤りにより、削除しました。 同社は事案について、情報の滅失と説明しています。不正アクセスによる流出や内部犯による持ち出しではなく、情報漏えいを裏付ける事実も確認されていないとのこと。同社は今後、情報管理体制を強化し再発防止に努めるとしています。 参照お客さま情報

全国各自治体にサイバーセキュリティに関する基本方針の作成と公表を義務付ける案を総務省がまとめ、地方自治法改正案に盛り込むことが明らかになりました。 サイバーセキュリティ基本方針は、サイバー攻撃への対策基準やインシデント対策の実施手順・運用規則などの上位に位置するもので、外部公開により情報セキュリティ対策の実施や説明責任を果たす役割を担います。しかし、現行法は地方自治体に基本方針の策定や公表を義務付けていないため、策定・公表は各自治体の判断に委ねる形となっていました。 総務省が今回の法改正で目指すのは、策定や公表を義務化することで現況を改め、各自治体のサイバーセキュリティ基準を高めることです。また、「策定したが内容がウスい」といった事態を避けるためか、各種サイバーリスクへの対策やインシデント発生時の対応方針に加え、組織や職員の遵守事項などを明記するよう、ガイドラインの導入も検討しているとのこ

画像：特定非営利活動法人美原体育協会より引用 大阪市堺市の体育館指定管理者である特定非営利活動法人美原体育協会は2024年2月21日、職員が使用する業務用パソコンが外部から遠隔操作によるアクセスを受け、美原体育館利用者等の個人情報約1万4,000件が流出した可能性があると明らかにしました。 情報流出懸念の原因は協会職員によるサポート詐欺被害です。協会によると2024年2月12日、80代の所属職員がパソコン操作中に誤ってウェブ広告をクリックしたところ「ウイルスに感染した」旨の警告画面が連絡先とともに表示されました。表示はいわゆる「サポート詐欺」と呼ばれるものですが、職員は対応のため連絡先にコンタクトを取り、業務用パソコンを遠隔操作するためのソフトをダウンロード。さらに相手の要求に従い36万円のギフトカードを購入し、利用のためのシリアルコードを伝達しました。 協会によると、職員の行為により体育

画像：東京テアトル株式会社より引用 東京テアトル株式会社は2024年2月13日、同社が運営するウェブサイト「マンション売却相談センター」のユーザー向けフォームに不備があり、フォームを利用した一部ユーザー55名の情報が流出した可能性があると明らかにしました。 原因となったのは同社が2024年1月17日に実施した新サイトへの移行措置です。同社は新サイトに移行する際、ユーザー向けフォームのキャッシュの取扱い設定を変更しましたが、不備があり、過去フォームを利用したユーザーの情報が条件を満たす別の利用者に表示される事象が判明しました。 同社は公表時点で不備修正を完了しました。しかしながら、対応までの間にユーザー55名がフォームを利用していたことが判明。同社は対象ユーザーに謝罪し、再発防止に努めると発表しています。 参照個人情報漏洩の可能性に関するお知らせとお詫び/東京テアトル株式会社

画像：大阪市より引用 大阪市は2024年2月19日、市が福祉事務所に宛てた電子メールを誤送信し、送信先となった福祉関連事業者7,468名の情報を漏えいしたと明らかにしました。 大阪市によると市は2024年2月15日、能登半島地震に伴う介護職員の派遣を打診するため、「派遣決定者リスト」を添付し福祉事業者に電子メールの送信を試みました。ところが2024年2月16日なり、市内の福祉事業者から「個人情報が記載されている」旨の連絡が入ったとのこと。 連絡を受けた大阪市がメールを確認したところ、メールに添付したファイルに福祉関連事業者7,468名の氏名や住所等の情報が含まれていることが判明しました。市によると、本来添付する予定のファイルと取り違え、誤送信していたとのことです。 大阪市は送信先となった事業者らに謝罪しメールの削除を依頼しています。原因は送信前確認の不備であり、今後は複数名による送信前チェ

画像：ディップ株式会社より引用 人材関連サービスを提供するディップ株式会社は2024年1月31日、同社が運営する求人情報サービス「バイトル」において、掲載企業のアカウントが第三者に不正アクセスされ、応募者の個人情報が流出した可能性があることを発表しました。 不正アクセスの対象となったのは、サンライズワークス社のアカウントです。第三者は何らかの方法でこのアカウントのID及びパスワードを入手し、バイトル上でサンライズワークス社の応募者管理画面にログインしました。その後、管理画面内のメール送信機能を用いて、サンライズワークスのIDやパスワード、そして一部の応募者20名の個人情報を外部に送信しました。サンライズワークス社の管理画面からは合計1,296名の応募者の個人情報が閲覧でき、流出の懸念が生じています。 不正アクセスは、メールを受け取った応募者からの問い合わせによってディップ社に発覚しました。