情報漏えいに関するお詫びと報告【第二報:2025年3月14日 21:30】
弊社のホームページ内のクラウドサービスのお問い合わせフォームから受領した情報の一部(添付ファイル)について、個人情報漏えいのおそれがあることが判明しました。お客様をはじめ関係者の皆様に多大なご心配とご迷惑をおかけしていますことを深くお詫び申し上げます。
第二報として、漏えいしたおそれのある情報と件数、および弊社の対応、再発防止策を更新したため、以下に報告します。
1.事案の概要
2025年3月3日に弊社のホームページにおいて個人情報が含まれると思われるファイルが第三者から参照できる状態であることを外部個人情報保護機関を通じ指摘されました。調査した結果、お客様がお問い合わせフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できてしまう状態であることが判明しました。原因は、ホームページを更改した際のセキュリティ対応における不備によるものでした。
2.漏えいしたおそれのある情報と件数
弊社お取引先のお客様情報
[事業所名、代表者名、住所、請求情報、口座番号] 1件
[事業所名、代表者名、住所、電話番号、請求情報] 2,081件
[事業所名、住所、電話番号、請求情報] 109件
[事業所名、代表者名、住所] 5件
[事業所名] 392件
弊社お取引先の担当者情報
[担当者の氏名、メールアドレス] 10件
[取引に用いた文書] 3件
3.弊社の対応
弊社は、即刻お問い合わせフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定をするとともに、関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しています。また、対象となるお客様には情報漏えいに関する報告をしました。
4.再発防止策
弊社では、これまでも個人情報の適切な取扱いに努めてきましたが、弊社のホームページでファイル添付可能なお問い合わせフォームの運用を開始した際に、セキュリティに対する配慮が不足していたことが今回の事故の根本的な原因でした。本件事故の発生を厳粛に受け止め、弊社内で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直します。各規程に不足していた対応内容を追記したうえで、社員が規程に沿った行動を徹底できるように2025年3月31日までに教育を実施します。その規程には、システムの変更や新たな運用を開始する時にセキュリティ要件チェックシートを用いることも追記し、セキュリティに対する配慮漏れを防ぎます。また、定期的に実施している内部監査で、見直した規程に沿った運用が行われていることを確認し、適切な対応を維持します。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
以上、引き続き対応中ではございますが、第二報としてお詫びと報告を申し上げます。
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
第二報として、漏えいしたおそれのある情報と件数、および弊社の対応、再発防止策を更新したため、以下に報告します。
1.事案の概要
2025年3月3日に弊社のホームページにおいて個人情報が含まれると思われるファイルが第三者から参照できる状態であることを外部個人情報保護機関を通じ指摘されました。調査した結果、お客様がお問い合わせフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できてしまう状態であることが判明しました。原因は、ホームページを更改した際のセキュリティ対応における不備によるものでした。
2.漏えいしたおそれのある情報と件数
弊社お取引先のお客様情報
[事業所名、代表者名、住所、請求情報、口座番号] 1件
[事業所名、代表者名、住所、電話番号、請求情報] 2,081件
[事業所名、住所、電話番号、請求情報] 109件
[事業所名、代表者名、住所] 5件
[事業所名] 392件
弊社お取引先の担当者情報
[担当者の氏名、メールアドレス] 10件
[取引に用いた文書] 3件
3.弊社の対応
弊社は、即刻お問い合わせフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定をするとともに、関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しています。また、対象となるお客様には情報漏えいに関する報告をしました。
4.再発防止策
弊社では、これまでも個人情報の適切な取扱いに努めてきましたが、弊社のホームページでファイル添付可能なお問い合わせフォームの運用を開始した際に、セキュリティに対する配慮が不足していたことが今回の事故の根本的な原因でした。本件事故の発生を厳粛に受け止め、弊社内で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直します。各規程に不足していた対応内容を追記したうえで、社員が規程に沿った行動を徹底できるように2025年3月31日までに教育を実施します。その規程には、システムの変更や新たな運用を開始する時にセキュリティ要件チェックシートを用いることも追記し、セキュリティに対する配慮漏れを防ぎます。また、定期的に実施している内部監査で、見直した規程に沿った運用が行われていることを確認し、適切な対応を維持します。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
以上、引き続き対応中ではございますが、第二報としてお詫びと報告を申し上げます。
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
