https://kojinjyouho.or.jp/news/2025-08-11T19:28:00Z一般社団法人日本個人情報安全協会2025-08-11T08:34:06Zhttps://kojinjyouho.or.jp/news/5206851503259648/

米政府は、「Microsoft Exchange Server」のハイブリッド構成に脆弱性が確認された問題で、緊急指令「ED 25-02」を発行した。現地時間8月11日までの対応を求めている。 この脆弱性は「Exchange Server」をオンプレミスと「Microsoft 365」でハイブリッド構成としている場合に影響を受けるもの。 4月に提供されたホットフィクスが適用されていないハイブリッド環境では、オンプレミス環境で「Exchange Server」の管理者権限を取得された場合、クラウド環境の「MS365 Exchange Online」に対する横展開が可能となり、影響が大きく拡大する。 この問題で、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が影響の大きさを考慮し、緊急指令「ED 25-02」を発行した。 日本で同環境になる場合は、8月12日に詳細を確認してから対応しましょう。

一般社団法人日本個人情報安全協会2025-08-03T03:35:32Zhttps://kojinjyouho.or.jp/news/5092827553857536/

すかいらーくホールディングスは、同社が運営する「テイクアウトサイト」がサイバー攻撃を受けた問題で、クレジットカード情報を含む個人情報が外部へ流出した可能性がある。 同社「テイクアウトサイト」で5月3日12時ごろに障害が発生。当初プログラムの不具合と見ていたが、2025年5月7日に外部より侵害されたことを把握した。一部利用者の個人情報が流出した可能性もあるとし、5月8日に警察や個人情報保護委員会へ報告。同サイトを閉鎖し、外部協力のもと調査を進め、6月24日に調査が完了。 この結果、システムの脆弱性を悪用した不正アクセスを受けていたことが判明した。2025年4月30日から5月7日にかけて同サイトで新規にクレジットカードを登録した顧客2270人の個人情報が流出した可能性がある。 氏名や電話番号、生年月日、性別、メールアドレスのほか、クレジットカードの番号、有効期限、セキュリティコードが含まれる。 同社では、7月30日より顧客と個別にメールで連絡を取り、経緯を説明するとともに謝罪。身に覚えのない請求などが行われていないか確認するよう呼びかけている。 また調査結果を踏まえ、システムのセキュリティ対策や監視体制について強化した。同サイトのクレジットカード決済の再開日については、あらためてサイト上で告知するとしている。

一般社団法人日本個人情報安全協会2025-08-03T03:31:58Zhttps://kojinjyouho.or.jp/news/5137957275041792/

山口県は、セミナーの申し込みフォームにおいて、申込者の個人情報が本人以外の申込者から一時閲覧できる状態になっていたことを発表した。 同県主催の「先生になるなら“やまぐち”で！セミナー」の申し込みフォームにおいて設定ミスが発生したもの。 2025年6月3日から7月2日にかけて申込者29人の氏名、市町村名、電話番号、教員免許取得状況、職業、臨時的任用登録の状況などが、ほかの申込者から閲覧可能だった。 7月3日にセミナーの参加者から指摘があり問題が判明。閲覧できないようフォームの設定を変更した。期間中に4人が個人情報を閲覧していた。 セミナー担当者が申し込みフォームを作成した際、申込者自身が回答を確認できるよう設定したが、ほかの申込者からも閲覧できる状態となることを認識していなかったという。 問題の判明を受けて、同県では対象となる申込者に説明と謝罪を行った。

一般社団法人日本個人情報安全協会2025-08-03T03:15:53Zhttps://kojinjyouho.or.jp/news/5198662678347776/

群馬県は、デジタルクリエイティブ人材育成事業で、メールの送信ミスを発生させメールアドレスが流出させたと発表した。 2025年7月16日にデジタル人材育成施設「TUMO Gunma」に関する業務を委託しているシステムクリエイターズでメールの誤送信を発生さ、「TUMO Gunma」の利用希望者63人にメール送信先を宛先に設定して送信。受信者間でメールアドレスが閲覧できる状態となった。 誤送信の直後に委託事業者が気づき、同日、対象者にメールで謝罪し、誤送信したメールの削除を依頼している。

一般社団法人日本個人情報安全協会2025-08-03T03:11:34Zhttps://kojinjyouho.or.jp/news/5158492688089088/

アクサ損害保険は、ペット保険のシステムがサイバー攻撃を受け、情報が外部に流出した可能性がある。 同社サーバで不審な挙動があり、システムを侵害され顧客に関する情報が外部に流出した可能性がある。 2025年7月25日の時点で顧客情報の不正利用などは確認されていない。 問題の発覚を受けて同社では対策を実施。 引き続き調査を進めていくとしている。 アクサ損害保険を語った偽メールにご注意ください。

一般社団法人日本個人情報安全協会2025-07-30T22:49:29Zhttps://kojinjyouho.or.jp/news/5109709308690432/

東京都目黒区の区立こども園で、園児の個人情報を含む資料を連絡用アプリケーションを通じて保護者に配信する際、配信先を誤って「全体」に設定。本来送信先ではない保護者に対しても配信する誤送信を発生させた。 同区によれば、バス遠足の資料を教員間で共有するため、連絡用アプリケーションを使ったが、配信先を誤って「全体」に設定。本来送信先ではない保護者に対しても配信された。 誤配信した資料には、4歳児クラスと5歳児クラスの園児42人の氏名のほか、そのうち16人に関しては支援が必要、バス酔いしやすい、預かり保育の対象児といった情報が記載されていた。 配信同日、保護者から連絡があり問題が判明。同園では、関係者に経緯を説明するとともに謝罪し、配信したデータの削除を依頼した。また全保護者に対しても説明と謝罪を行っている。 この手の事故は、教職員の異動時に注意が引き継がれない原因が多い。 事故処理に関わらない教職員はすぐに事故を忘れていく。 事故処理を全員で対応することから体制を組みなおす必要がある。

一般社団法人日本個人情報安全協会2025-07-30T06:15:09Zhttps://kojinjyouho.or.jp/news/5068403014369280/

同機構では、「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき、脆弱性に関する届け出を受け付けており、同四半期の状況を取りまとめたもの。 同四半期に届け出を受けた脆弱性は99件。前四半期と同数だった。1就業日あたりの届け出件数は3.82件となる。 内訳をみるとソフトウェア製品に関する届け出が62件で、前四半期の81件から減少した。一方ウェブサイトに関する届け出は37件で、前四半期の18件から倍増している。 受け付けを開始した2004年以降の累計件数はあわせて1万9484件。内訳を見ると、ウェブサイト関連が1万3381件で全体の約7割を占める。 ウイルスを仕込まれたり、偽サイトに誘導されるなど、報道される事案が増えている。

一般社団法人日本個人情報安全協会2025-07-30T00:04:37Zhttps://kojinjyouho.or.jp/news/5200467973898240/

ブライダル関連事業を展開する会社が運営しているInstagramのアカウントが乗っ取られ不審なダイレクトメールが送信された。すでに同アカウントは削除済みだという。 発覚のきっかけはInstagramアカウントのストーリーに同社とは無関係の投稿が行われていることで判明したもの。ログインを試みたが、第三者に乗っ取られたアカウントにはログインができず、一部フォロワーに対して不審なダイレクトメッセージが送信されユーザーIDまたはユーザーネームに使用している氏名69件が漏洩したという。 同社ではアカウントは削除し、フォロワーだったユーザーにおいて、同社では、関係者に対して同社が運営する別の公式Instagramアカウントからダイレクトメッセージを送り、連絡を取っている。また、7月24日に個人情報保護委員会へ報告を行った。 さて、あなたの会社がInstagramを運用しているとして、アカウント乗っ取り対策は準備していますか？乗っ取られたとわかったら初動はどうするのか、上司も管理者もいないときにどう動くのか、あるいは動けるのか体制を整えていますか？ あなたの取引先から不審なメッセージが届いたら、どう対応しますか？ もはや日常的に行われているアカウントの乗っ取り。いま備えておかないと乗っ取りされたときに大混乱になりますよ。

一般社団法人日本個人情報安全協会2025-07-28T22:48:39Zhttps://kojinjyouho.or.jp/news/5072037714329600/

スーパーマーケットチェーンを運営するタイヨーは、イベント予約フォームの設定を誤り、予約者の個人情報が閲覧可能になっていた。 同社主催のイベント「出張版ねころっけアカデミー8月企画」の予約フォームの設定を誤り、約24時間にわたり、予約者の個人情報が外部から閲覧できる状態だった。参加者の氏名と年齢、学年、保護者の氏名、電話番号、ポイントカード番号など、予約情報9件が含まれる。 予約情報を社内で共有するため、予約フォームの設定を変更した際、外部からも閲覧可能な状態に設定したもの。外部から指摘があり問題が発覚し、設定を修正した。 今回の問題を受け、対象となる予約者と個別に連絡を取っている。 設定ミスが後を絶たないが、「今後は注意しましょう」では注意効果が低い。 ・今回どのような対応をしたのか記録する。 ・それを基に事故対応マニュアル作る。 ・事故時の対応者の氏名を書き出した表を作成する ・担当者は事故対応マニュアルを読み合わせて改善する。 ・対応担当者の交代を役員に直接報告する。 ・年に一度は担当者を交代させる。 あなたが担当者である自覚を持たせること。

一般社団法人日本個人情報安全協会2025-07-28T00:41:53Zhttps://kojinjyouho.or.jp/news/6292949730066432/

ソフトバンクの業務委託先であるUFジャパンが、個人顧客の個人情報が流出した可能性がある。ずさんなセキュリティ管理体制のもと、虚偽の監査報告が行われていたが内部通報で発覚。 UFジャパンがソフトバンクの許諾なしに協力会社と契約していたため、協力会社を退職した元従業員が、2024年12月にUFジャパンの事業所へ不正に立ち入り、同社の顧客情報をUSBメモリに保存して持ち出した。 UFジャパンが他社通信事業者のサービスの勧誘に不正に顧客情報を利用していると指摘があり、調査したところ問題が発覚した。 携帯電話サービス「ソフトバンク」や「ワイモバイル」を契約している個人顧客が対象で、USBメモリにより13万5022件が持ち出された可能性がある。 当事者である協力会社の元従業員は、情報の持ち出しに関して記憶にないと主張しているが、監視カメラの映像で確認された。 また、別の従業員が顧客情報を含むファイルをクラウドにアップロードし、同社業務とは関係ない従業員3人がデータを閲覧できる状態になっていた。 いずれのケースでも顧客の氏名や住所、電話番号、生年月日、性別、年齢、契約内容、サービスの利用に関する情報、社内の顧客管理番号などが含まれる。 同社では、UFジャパンが業務で使用していたすべてのパソコンに対してフォレンジック調査を実施するとともに、関係者への聞き取り調査、警察への相談などを進めている。 再委託先が参加するほど個人情報保護セキュリティーが甘くなることは周知の事実だが、どのように管理するかバラバラなのがこのような事故を招く。 USBを使用したら警告が出る、個人情報をデータベースにアップロードしたら管理者にログを出す、などセキュリティーの警告が出すことを従業者に事前に知らせておくことは重要だが、従業者が知らない管理者だけに通知される警告も必要である。 対応検討を急いでいただきたい。

一般社団法人日本個人情報安全協会2025-07-27T23:45:10Zhttps://kojinjyouho.or.jp/news/5167049823223808/

ケーブルテレビ局の多摩テレビは、利用者向けポータルの認証コードが記載されたハガキを契約先住所以外の住所が登録されていた顧客についても契約先住所に発送するミスがあり、個人情報が流出するおそれがあった。語送付したハガキには顧客番号や顧客向けマイページの登録に必要となる認証コードが記載されており、対象となった顧客は54件としている。 同社では認証コードを順次変更し、ハガキに記載された認証コードについて無効化した。誤送付に関連し、第三者によるマイページへの登録がなかったことを確認したとしている。 データベースになんでも保存する傾向があるが、情報が蓄積するほど、誤用リスクが高まる。さらに不要な情報の削除も面倒なためそのまま蓄積を続けることになる。 後からデータベースの管理を命じられた担当者は、そのデータが保存されている理由が分からないため、消すことすらできなくなる。 不要なデータは都度削除する、という意味を再考頂きたい事案であった。

一般社団法人日本個人情報安全協会2025-07-22T05:13:39Zhttps://kojinjyouho.or.jp/news/5164738610724864/

新興出版社啓林館が、中高生向けに提供している動画教材サイト「スマートレクチャーサイト」で不正アクセスがあり、利用者の個人情報が流出した可能性がある。 データは暗号化されているが、同サイトの質問受け付けページに対して、SQLインジェクション攻撃が行われ、利用者に関する個人情報が外部へ流出した可能性があることが確認された。 対象となるのは、利用者の氏名、生年月日、メールアドレス、パスワード。これらの個人情報はいずれも暗号化されていると説明している。 同社では、攻撃経路となった質問受け付けページを閉鎖。プログラムを修正するとともにセキュリティ対策を強化した。 また警察へ通報するとともに個人情報保護委員会へ報告。利用者に対して同サービスのログインパスワードを変更するよう求めている。 利用者には心当たりのないメールは受信や開封をしないこと、躊躇なく削除することなどの注意するよう呼びかけている。

一般社団法人日本個人情報安全協会2025-07-22T00:19:43Zhttps://kojinjyouho.or.jp/news/5202578547671040/

大阪府高槻市の中学校で、生徒の学校生活に関する聞き取りメモを教室のスクリーンに誤って投影し、生徒数名が閲覧したことを明らかにした。 教員がパソコン画面を教室のスクリーンに接続したまま、別室で生徒の学校生活に関する聞き取りメモを表示させたため、教室にいた生徒数名の目に触れることとなった。 約10分後にメモを見た生徒から報告があり、問題が判明。二次流出などは確認されていない。 同校では、スクリーンにメモが投影されたり、メモを見た生徒、および保護者に対して経緯を説明するとともに謝罪した。 今回の問題を受けて、同市教委では個人情報の管理に関するマニュアルの徹底をあらためて指示したとしている。 指示をした後の遵守状況の把握を徹底頂きたい。

一般社団法人日本個人情報安全協会2025-07-22T05:13:09Zhttps://kojinjyouho.or.jp/news/5164436687945728/

Googleは現地時間2025年7月15日付けで、同社ブラウザ「Chrome」のセキュリティアップデートをリリースしたと発表した。 複数の脆弱性を修正し、WindowsおよびmacOS向け、Linux向けにセキュリティに関する6件の修正を実施した。 同社は、いずれも重要度を4段階中、上から2番目にあたる「高（High）」に該当するとしており、なかでもGoogleの脅威分析グループ（TAG）によって発見され、現地時間6月23日に報告された「CVE-2025-6558」については、すでに悪用が確認されており、注意が必要となる。 ※このリリースは、数日から数週間かけて同アップデートを展開する予定で、ユーザーには最新版への更新に注意を払うように呼びかけている。

一般社団法人日本個人情報安全協会2025-07-30T06:15:35Zhttps://kojinjyouho.or.jp/news/6293650027839488/

警察庁は2025年7月17日、ランサムウェア「Phobos」や「8Base」の被害者向けに暗号化されたファイルを復号するツールを公開した。亜種などにも対応している。 「Phobos」は2018年ごろから活動が確認されているランサムウェア。「Eking」「Elbie」「Faust」などの亜種も確認されている。一方「8Base」は「Phobos」などのコードを流用し、開発されていると見られており2022年後半から活発な動きを見せている。 いずれもデータを暗号化して金銭を要求する手口で、グローバルに攻撃が拡大しており、あわせて2000件以上の被害が発生したと見られている。 同問題を受けて、米連邦捜査局（FBI）の協力のもと同庁関東管区警察局サイバー特別捜査部が暗号化されたファイルを復元するツールを開発した。 6月にユーロポールへツールを提供し、日欧米の捜査当局で有効性などを確認できたことから、グローバルでランサムウェア対策を進めるために公開した。 「復号ツール」や「利用ガイドライン」は、同庁ウェブサイトよりダウンロードすることが可能。 亜種を含め「Phobos」や「8Base」による攻撃では「.phobos」「.8base」「.elbie」「.faust」「.LIZARD」などの拡張子が利用されている。 これら以外の拡張子が用いられるケースもあり、暗号化されたファイル名の命名規則が一致する場合、復号できる可能性がある。 警察庁では、ランサムウェアの被害に遭った国内の企業などに対して相談を促し、希望があった場合は復号ツールを活用してデータの復元を支援する方針。 同庁では、2024年2月にも「LockBit」に対応する復号ツールを公開している。また他ランサムウェアについても、「No More Ransom」プロジェクトなどで復号ツールが公開されているケースがあるとして、活用を呼びかけている。

一般社団法人日本個人情報安全協会2025-07-15T06:34:10Zhttps://kojinjyouho.or.jp/news/5116969833463808/

東京都荒川区で、高齢者の見守り活動で使用している名簿が所在不明となっている。 高齢者の見守り活動で使用している「高齢者みまもり名簿」と「避難行動要支援者名簿」の一部所在がわからなくなっているもの。 2025年6月19日に紛失が判明した。紛失した名簿には、個人情報30件が含まれており、同区では、対象者に訪問や電話を通じて経緯の説明と謝罪を行っている。 また警察に対して、対象者の居住地域における警ら活動の強化を警視庁に要請。また同区パトロール車の巡回についても重点的に実施し、当面の間、防犯体制を強化する。 詐欺や悪質で強引な勧誘などに弱い高齢者の名簿なので、あの家も買ってくれた、など具体的な名前を挙げて強引に迫るため、町内会全体でお年寄りを保護する活動が必要である。 紛失した名簿は訪問先などに忘れていることも予想されるため、町内会全体で検索することをお勧めします。

一般社団法人日本個人情報安全協会2025-07-13T04:20:31Zhttps://kojinjyouho.or.jp/news/5187919287418880/

瀬戸内4県による海洋ゴミ対策イベントの案内メールを香川県が送信した際、誤ったURLを記載し個人情報が流出した。 同県では、2025年6月23日に「瀬戸内4県・一斉清掃大作戦！」の参加案内メールを586人に誤ったURLの案内を送信した。参加登録を行った申込者125人のうち、代表者となっていた100人の氏名、住所、電話番号、生年月日、メールアドレス、所属などの個人情報が記載されていた。 規則で定められた個人情報を含むデータにパスワードは設定されておらず、メールの送信にあたりURLのリンク先なども確認していなかった。 メール受信者からの連絡で問題が判明。同県では問題のページを削除した。 事故後の処理が大変です。 ・メールの送信先に対してメールの削除を依頼。 ・個人情報が流出した可能性がある関係者に対してメールで事情説明 ・並びに電話で経緯の報告と謝罪 転ばぬ先の杖として後処理を社内共有しておきましょう。

一般社団法人日本個人情報安全協会2025-07-13T04:20:48Zhttps://kojinjyouho.or.jp/news/5130231803281408/

佐賀県は、オンライン説明会の招待メールを「Microsoft Teams」経由で送信し、受信者間にメールアドレスが流出したことを明らかにした。 同県で、2025年6月11日、12日に委託業務に関するオンライン説明会の招待メールを13人に送信した際、送信先のメールアドレスが受信者間に表示されたもの。6月12日に受信者から指摘があり、問題が判明した。 同ツールより招待メールを送信した場合、送信先のメールアドレスが相互に参照できる状態で送られるが、同県が作成した「Teams利用ガイドライン」に同仕様に関する注意喚起の記載はなく、ガイドラインに沿って操作したものの事故が生じた。 同県では、誤送信先にメールの削除を依頼した。また今回の問題を受けてガイドラインを改訂。ウェブ会議の招待にあたっては、同ツールより送信せず、宛先を「BCC」に設定したメールで参加用URLリンクを送信することとした。 あなたの組織は大丈夫ですか？ 以外に気づいていないだけかもしれませんね。

一般社団法人日本個人情報安全協会2025-07-13T04:21:32Zhttps://kojinjyouho.or.jp/news/5206509650706432/

ある日突然認知症になるわけではない。 ヒタヒタと下り坂を下るように、できなくなることが増えてきた。 あたりまえにできていたことがきなくなってくる。 苦笑いですませていた物忘れ。 人のうわさ話にのるほ上るほど 迷惑をかけている自覚がでてくると、 自分の心にトゲがささってくる。 もう笑い話ではすまなくなってくる 自尊心が傷つき、失敗する自分と認めたくない自分が葛藤し、 閉じこもりがちになっていく。 来た道すら分からない。 とつぶやいた年寄りの言葉が重い。 まもなく高齢者の5人に１人が認知症、という推計もある。 とほほ・・

一般社団法人日本個人情報安全協会2025-07-13T04:21:57Zhttps://kojinjyouho.or.jp/news/5099214589657088/

英国で、経営者や雇用主が職場におけるハラスメントや差別といった不適切な行為を隠すために「秘密保持（守秘義務）契約」（ＮＤＡ）を従業員と結ぶことが禁じられる。英国政府が労働者の権利を強化する「雇用権利法案」に７日付けで修正を加え、８日に公表した。 　法案が施行されれば、職場でセクハラなどの被害を受けた従業員は、ＮＤＡを盾にした訴訟のリスクをおそれずに自由に発言ができるようになる。また、目撃者が不適切行為を指摘することも可能になる。 　英国では立場や財力の不均衡からＮＤＡによって「口封じ」を強いられるケースが相次いでいた。特に女性の性被害事案でＮＤＡが悪用されていると指摘されてきた。 　英国の労働組合によると、約６６００人の女性のうち２５％が職場での性的な暴行を経験し、４３％が不適切な接触をされたと回答。また英人事・人材開発専門家協会の別の調査では、２２％の雇用主が「セクハラ事案に対応する際にＮＤＡを利用している」と回答していた。 　修正案は、企業秘密の漏洩（ろうえい）防止といった正当な理由によるＮＤＡ締結を妨げるものにはならないと、報道機関も好意的に評価している。 日本もNDAを盾に抑圧的な口封じが行われていないか、今後は企業体質という非難を受けないように経営者自らが気配りをする必要がある。

一般社団法人日本個人情報安全協会