情報漏えいに関するお詫びと報告【第三報:2025年3月20日 00:25】
弊社ホームページ内にあるクラウドサービスのお問い合わせフォームから受領した情報の一部(添付ファイル)について、個人情報漏えいのおそれがあることが判明しました。お客様をはじめ関係者の皆様に多大なご心配とご迷惑をおかけしていますことを深くお詫び申し上げます。第三報として弊社の対応と再発防止策を更新しましたので、以下に報告します。
1.事案の概要
2025年3月3日に弊社ホームページで個人情報を含むと思われるファイルが第三者から参照できる状態であることを外部個人情報保護機関を通じ指摘されました。調査した結果、お客様がお問い合わせフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できてしまう状態であることが判明しました。
2.漏えいしたおそれのある情報と件数
3.事象発生の原因
2015年にホームページを更改した際のセキュリティ設定に不備がありました。2022年よりホームページでファイル添付可能なお問い合わせフォームの運用を開始した際に、ホームページサーバーの一部ディレクトリが外部から参照可能になっていたことが原因でした。
4.弊社の対応
3月3日にお問い合わせフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定を変更しました。3月6日に関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しました。また、3月7日から対象となる情報をお預かりしていたお取引先には、個別に情報漏えいに関する報告と対応について相談しています。併せて、上述2項のお取引先のお客様に対しても報告とお詫びの対応を進めています。
5.再発防止策
本件事故の発生を厳粛に受け止め、弊社内で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直し、各規程に不足していた対応内容を追記しました。社員が規程に沿った行動を徹底できるように2025年3月31日までに教育を実施します。その規程には、システムの変更や新たな運用を開始する時にセキュリティ要件チェックリストを用いることも追記し、セキュリティに対する配慮漏れを防ぎます。また、定期的に実施している内部監査で、見直した規程に沿った運用が行われていることを確認し、適切な対応を維持します。なお、弊社ホームページお問い合わせフォームからの添付ファイルの取り扱いは行わないこととしました。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
以上、第三報としてお詫びと報告を申し上げます。
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
1.事案の概要
2025年3月3日に弊社ホームページで個人情報を含むと思われるファイルが第三者から参照できる状態であることを外部個人情報保護機関を通じ指摘されました。調査した結果、お客様がお問い合わせフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できてしまう状態であることが判明しました。
2.漏えいしたおそれのある情報と件数
| 漏えいした情報 | 件数 | |
| 弊社お取引先のお客様情報 | ||
| 事業所名、代表者名、住所、請求情報、口座番号 | 1件 | |
| 事業所名、代表者名、住所、電話番号、請求情報 | 2,081件 | |
| 事業所名、住所、電話番号、請求情報 | 110件 | |
| 事業所名、代表者名、住所 | 5件 | |
| 事業所名 | 392件 | |
| 弊社お取引先の担当者情報 | ||
| 担当者の氏名、メールアドレス | 10件 | |
| 取引に用いた文書 | 3件 | |
| 合計 | 2,602件 | |
3.事象発生の原因
2015年にホームページを更改した際のセキュリティ設定に不備がありました。2022年よりホームページでファイル添付可能なお問い合わせフォームの運用を開始した際に、ホームページサーバーの一部ディレクトリが外部から参照可能になっていたことが原因でした。
4.弊社の対応
3月3日にお問い合わせフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定を変更しました。3月6日に関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しました。また、3月7日から対象となる情報をお預かりしていたお取引先には、個別に情報漏えいに関する報告と対応について相談しています。併せて、上述2項のお取引先のお客様に対しても報告とお詫びの対応を進めています。
5.再発防止策
本件事故の発生を厳粛に受け止め、弊社内で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直し、各規程に不足していた対応内容を追記しました。社員が規程に沿った行動を徹底できるように2025年3月31日までに教育を実施します。その規程には、システムの変更や新たな運用を開始する時にセキュリティ要件チェックリストを用いることも追記し、セキュリティに対する配慮漏れを防ぎます。また、定期的に実施している内部監査で、見直した規程に沿った運用が行われていることを確認し、適切な対応を維持します。なお、弊社ホームページお問い合わせフォームからの添付ファイルの取り扱いは行わないこととしました。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
以上、第三報としてお詫びと報告を申し上げます。
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
