情報漏えいに関するお詫びと報告【確報:2025年3月29日 14:45】
弊社ホームページ内にあるクラウドサービスの専用Webフォームから受領した情報の一部(添付ファイル)について、個人情報の漏えいがあったことが判明しました。お客様をはじめ関係者の皆様に多大なご心配とご迷惑をおかけしていますことを深くお詫び申し上げます。弊社の対応と再発防止策を更新しました。また、弊社内で情報セキュリティに対する総点検を実施しました。その結果を含めた現況を確報として、以下に報告します。
1.事案の概要
2025年3月3日に弊社ホームページで個人情報を含むと思われるファイルが第三者から参照できる状態であることが外部個人情報保護機関を通じ指摘されました。調査した結果、お客様が専用Webフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できる状態であったことが判明しました。
2.情報漏えいした内容と件数等
3.事象発生の原因
2015年11月にホームページを更改した際のセキュリティ設定に不備がありました。2022年9月よりホームページでファイル添付可能な専用Webフォームの運用を開始した際に、ホームページサーバーの一部ディレクトリが外部から参照可能になっていたことが原因でした。
4.弊社の対応
2025年3月3日に本件の事故を確認後、直ちにホームページの専用Webフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定を変更しました。また、2025年3月5日に弊社内にセキュリティ対策本部を設置し、最優先課題として本件に取り組んでいます。そして、2025年3月6日に関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しています。また、2025年3月7日から対象となる情報をお預かりしていたお取引先には、個別に情報漏えいに関する報告と対応について相談しています。
弊社はホームページのセキュリティ強化対策として、専用Webフォームのファイル添付機能を2025年3月12日に削除しました。また、弊社お取引先から弊社へ連絡する際に、弊社ホームページに設置した専用Webフォームを利用していましたが、このフォームの利用を2025年3月13日に中止し、弊社のシステム保守問い合わせ窓口へ直接メールで連絡を行うように運用を変更しました。さらに、指示連絡に個人情報や機密情報を含むファイルの添付が必要な場合は、ファイルにパスワードを付与することを弊社内で徹底すると共に、お取引先にも同様の対応をお願いしました。
併せて、上述2項のお取引先のお客様に対しても報告とお詫びの対応を進めており、2025年4月18日までに完了する予定です。その後も弊社セキュリティ対策本部宛てにお問い合わせをいただいた方々に責任をもって真摯に対応します。
5.再発防止策
本件事故発生の根本原因は、2015年11月の弊社ホームページ立上げ時に当該サーバーのセキュリティ要件に不備がないかを点検するプロセスが十分ではなかったことにあります。社内情報資産に対する点検作業が担当者に属人化していたため、問題を発見できませんでした。
さらに、2022年9月に弊社ホームページに専用Webフォームの機能を追加した際、新たにお客様の情報資産を当該サーバー上で取り扱うことになりました。これにより当該サーバーのセキュリティ要件が格段に上がったにも関わらず、当該サーバーのセキュリティに対するリスクアセスメントが実施できていませんでした。ここでセキュリティ要件の再定義ができていれば、本件の情報漏えい事故は防げていたと考えます。
①規程の見直し
本件事故の発生を厳粛に受け止め、弊社で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直しました。見直した規程には、外部公開サーバー上で稼働しているシステムの利用方法や運用方法を変更する場合に、改めてセキュリティ要件に不備がないかをセキュリティ要件チェックリスト(※3)を利用して点検の上、システム管理者の承認を得るプロセスを追記しました。
②外部公開サーバーの総点検
改めて、弊社の外部公開サーバー上で稼働している全システムのセキュリティ要件を総点検しました。その結果、2025年3月25日時点で稼働している全てのサーバーは、今回と同様の事象が無いことを確認しました。なお、直ぐに情報漏えいにつながる状態ではありませんが、さらなるセキュリティ強化が必要なサーバーに2025年4月18日までにセキュリティ強化策を実施予定です。なお、お客様が利用しているサーバーについては、お客様と相談の上、2025年4月30日までに対応日程を確定します。詳細はサーバー一覧表(※4)を作成し、管理しています。
また、自社で検討したセキュリティ強化策に不足がある可能性もあるため、外部調査機関に調査を依頼することを検討しています。2025年4月30日までに対応予定です。
③教育の徹底
弊社役員と社員ならびにビジネスパートナーメンバーが、上述の規程に沿った行動を徹底できるように弊社内で臨時教育を実施し、2025年3月28日に完了しました。
④監査による確認の徹底
年2回の頻度で定期的に実施している内部監査で、上述の規程に沿った運用が行われていることを監査します。とくに、システム利用方法や運用方法の変更があった場合のセキュリティ要件チェックリストの点検結果を徹底的に監査します。さらに内部統制の強化策として、情報システム部門が年1回実施していたシステム監査(※5)を年2回に変更します。システム監査頻度を増やすことで、社内のセキュリティリスク軽減を図ります。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
※3 ISMS(ISO27001)セキュリティ要件チェックリスト(ISMS―L121)
※4 ISMS(ISO27001)サーバー一覧表(ISMS―L122)
※5 ISMS(ISO27001)ISMS実施規程(SMS―D―01)に記載
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
以上
1.事案の概要
2025年3月3日に弊社ホームページで個人情報を含むと思われるファイルが第三者から参照できる状態であることが外部個人情報保護機関を通じ指摘されました。調査した結果、お客様が専用Webフォームよりファイルを添付してお問い合わせをおこなった際に、添付されたファイルが不特定の方から参照できる状態であったことが判明しました。
2.情報漏えいした内容と件数等
| (1)情報漏えいした内容 | 件数 | |
| ①弊社お取引先のお客様情報 | ||
| ・事業所名、代表者名、住所、請求情報、口座番号 | 1件 | |
| ・事業所名、代表者名、住所、電話番号、請求情報 | 2,081件 | |
| ・事業所名、住所、電話番号、請求情報 | 110件 | |
| ・事業所名、代表者名、住所 | 5件 | |
| ・事業所名 | 392件 | |
| ②弊社お取引先の担当者情報 | ||
| ・担当者の氏名、メールアドレス | 10件 | |
| ・取引に用いた文書 | 15件 | |
| (1)合計 | 2,614件 | |
| (2)情報漏えいした事業所数 | 1,524件 | |
3.事象発生の原因
2015年11月にホームページを更改した際のセキュリティ設定に不備がありました。2022年9月よりホームページでファイル添付可能な専用Webフォームの運用を開始した際に、ホームページサーバーの一部ディレクトリが外部から参照可能になっていたことが原因でした。
4.弊社の対応
2025年3月3日に本件の事故を確認後、直ちにホームページの専用Webフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定を変更しました。また、2025年3月5日に弊社内にセキュリティ対策本部を設置し、最優先課題として本件に取り組んでいます。そして、2025年3月6日に関連機関(個人情報保護委員会ならびに一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しています。また、2025年3月7日から対象となる情報をお預かりしていたお取引先には、個別に情報漏えいに関する報告と対応について相談しています。
弊社はホームページのセキュリティ強化対策として、専用Webフォームのファイル添付機能を2025年3月12日に削除しました。また、弊社お取引先から弊社へ連絡する際に、弊社ホームページに設置した専用Webフォームを利用していましたが、このフォームの利用を2025年3月13日に中止し、弊社のシステム保守問い合わせ窓口へ直接メールで連絡を行うように運用を変更しました。さらに、指示連絡に個人情報や機密情報を含むファイルの添付が必要な場合は、ファイルにパスワードを付与することを弊社内で徹底すると共に、お取引先にも同様の対応をお願いしました。
併せて、上述2項のお取引先のお客様に対しても報告とお詫びの対応を進めており、2025年4月18日までに完了する予定です。その後も弊社セキュリティ対策本部宛てにお問い合わせをいただいた方々に責任をもって真摯に対応します。
5.再発防止策
本件事故発生の根本原因は、2015年11月の弊社ホームページ立上げ時に当該サーバーのセキュリティ要件に不備がないかを点検するプロセスが十分ではなかったことにあります。社内情報資産に対する点検作業が担当者に属人化していたため、問題を発見できませんでした。
さらに、2022年9月に弊社ホームページに専用Webフォームの機能を追加した際、新たにお客様の情報資産を当該サーバー上で取り扱うことになりました。これにより当該サーバーのセキュリティ要件が格段に上がったにも関わらず、当該サーバーのセキュリティに対するリスクアセスメントが実施できていませんでした。ここでセキュリティ要件の再定義ができていれば、本件の情報漏えい事故は防げていたと考えます。
①規程の見直し
本件事故の発生を厳粛に受け止め、弊社で運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直しました。見直した規程には、外部公開サーバー上で稼働しているシステムの利用方法や運用方法を変更する場合に、改めてセキュリティ要件に不備がないかをセキュリティ要件チェックリスト(※3)を利用して点検の上、システム管理者の承認を得るプロセスを追記しました。
②外部公開サーバーの総点検
改めて、弊社の外部公開サーバー上で稼働している全システムのセキュリティ要件を総点検しました。その結果、2025年3月25日時点で稼働している全てのサーバーは、今回と同様の事象が無いことを確認しました。なお、直ぐに情報漏えいにつながる状態ではありませんが、さらなるセキュリティ強化が必要なサーバーに2025年4月18日までにセキュリティ強化策を実施予定です。なお、お客様が利用しているサーバーについては、お客様と相談の上、2025年4月30日までに対応日程を確定します。詳細はサーバー一覧表(※4)を作成し、管理しています。
また、自社で検討したセキュリティ強化策に不足がある可能性もあるため、外部調査機関に調査を依頼することを検討しています。2025年4月30日までに対応予定です。
③教育の徹底
弊社役員と社員ならびにビジネスパートナーメンバーが、上述の規程に沿った行動を徹底できるように弊社内で臨時教育を実施し、2025年3月28日に完了しました。
④監査による確認の徹底
年2回の頻度で定期的に実施している内部監査で、上述の規程に沿った運用が行われていることを監査します。とくに、システム利用方法や運用方法の変更があった場合のセキュリティ要件チェックリストの点検結果を徹底的に監査します。さらに内部統制の強化策として、情報システム部門が年1回実施していたシステム監査(※5)を年2回に変更します。システム監査頻度を増やすことで、社内のセキュリティリスク軽減を図ります。
※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
※3 ISMS(ISO27001)セキュリティ要件チェックリスト(ISMS―L121)
※4 ISMS(ISO27001)サーバー一覧表(ISMS―L122)
※5 ISMS(ISO27001)ISMS実施規程(SMS―D―01)に記載
<本件に関するお問い合わせ先>
サンネット株式会社
セキュリティ対策本部
電 話:0465-22-9707
受付時間:9:00~17:00(土・日・祝除く)
以上
