新着情報 news

個人情報流出の可能性に関する最終調査結果と再発防止策のお知らせ

2020.03.05

重要なお知らせ

 

 

2020年 3 月 5 日

ロイヤル・ワム・タウングループ法人
医療法人啓仁会
社会福祉法人栄光会
株式会社社会福祉総合研究所

ロイヤル・ワム・タウン コメディカル採用サイト運営会社
株式会社メディカルシステムサービス

 

 

個人情報流出の可能性に関する最終調査結果と再発防止策のお知らせ

 

    2020年2月20日に「個人情報流出の可能性に関するお詫びとお知らせ」にて公表させていただきましたとおり、株式会社メディカルシステムサービス(以下「弊社」といいます。)が運営する「ロイヤル・ワム・タウン コメディカル採用サイト」(https://www.wamtown-recruit.jp)内に掲載された弊社グループ(上記ロイヤル・ワム・タウングループ法人)の求人をご利用いただいたお客様の個人情報が、委託システム会社の設定ミスにより、インターネット上で閲覧可能な状態になっていたことが判明いたしました。
    改めて、本サイトをご利用いただいたお客様には多大なご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。
    今回の事態について、2020年2月13日より委託システム会社と共に進めていた調査が完了したため、最終的な調査結果、及び再発防止策等につきまして以下の通りご報告いたします。

 

1.調査方法

    インターネット上で外部から閲覧可能となっていた期間を対象として、お客様の個人情報が記載された各Webページ(以下「該当Webページ」といいます。)について、アクセスログ及びgoogleアナリティクスのデータを元に調査を行いました。
 
※1 アクセスログとは、Webページへの外部からのアクセス回数、アクセス時間帯、アクセス元IPアドレス、接続サービス提供業者名等に関する情報を記録したものをいいます。なお、後述する2-(6)-①のgoogleの自動巡回プログラムのアクセスログについては、後掲2-(4)の閲覧可能であった期間のうち、2020年1月16日午前0時00分以降(後半期間)のみ入手できましたが、それ以前(前半期間)のログは残っていませんでした。したがってgoogleの自動巡回プログラムのアクセス回数の調査にあたっては、入手できなかった前半期間に少なくとも1回のアクセスは確実であるため、その1回を把握可能な後半期間の回数に加算してアクセス回数としました。なお、2-(6)-②の第三者による人為的なアクセスについては2-(4)の期間の回数が把握できています。
※2  googleアナリティクスとは、googleが提供するWebサイト分析ツールをいい、アクセス状況を解析することができます。

 

2.個人情報流出の状況

(1)個人情報が外部から閲覧可能な状態にあったお客様
    2019年9月25日から2020年2月13日午後2時20分までの間に、「ロイヤル・ワム・タウン コメディカル採用サイト」(https://www.wamtown-recruit.jp)上の弊社グループ施設に係る「お問い合わせ/施設見学お申込み」のWebページにおいて、個人情報を入力されたお客様45名(2)前回報告(2020年2月20日)以降に新たに判明したお客様
    上記(1)のお客様45名のほかに、個人情報が閲覧可能な状態にあったことが新たに判明したお客様はございません。(3)外部から閲覧可能であった個人情報
    お客様の氏名、年齢、メールアドレス、電話番号、職種、見学希望日、自由記載欄に入力された情報(4)外部から個人情報が閲覧可能であった時期
    2019年12月13日から2020年2月13日午後2時20分までの間(5)該当Webページが検索結果として表示された検索ポータルサイト
    googleまたはYahooのみ(他の検索ポータルサイトでは事象が確認されませんでした。)。
    上記(4)の時期において、お客様45名について氏名等をgoogleまたはYahooで検索すると、お客様毎の該当Webページへのリンク、及び概要文に上記(3)の個人情報の一部が検索結果として表示されたことが確認されました。
(6)該当Webページへの外部からのアクセス状況
    お客様45名すべてについて、外部からのアクセスがあったことが確認されました。そのアクセス状況の詳細は、次のとおりです。
【45名のお客様】
①  googleの自動巡回プログラムによるアクセス
    調査で確認が出来たアクセス状況は次のとおりです。
・最もアクセス回数が多かったお客様  :26回
・最もアクセス回数が少なかったお客様 :1回
・45名のお客様の平均アクセス回数  :5.3回
    そのため、googleが、検索結果として表示するために該当WebページのURLのほか、該当Webページに掲載された上記(3)の個人情報を収集した可能性があります。
 
    なお、上記のとおり、Yahooにおいても該当ページへのリンク、及び概要文が表示される事象が確認されておりますが、Yahooはgoogleの情報を元に検索結果を表示するため、該当ページへの自動巡回プログラムによるアクセスはgoogleのみであることを確認しております。

【上記45名のお客様のうち12名のお客様】
② 第三者による人為的なアクセス
    アクセス状況は次のとおりです。
・最もアクセス回数が多かったお客様  :55名による延べ143回
・最もアクセス回数が少なかったお客様 :1名による延べ1回
・12名のお客様の平均アクセス回数  :6.7名による延べ14.6回

    このアクセスにより、複数の第三者において、該当Webページに掲載された上記(3)の個人情報が閲覧された可能性があります。

 

3.個人情報流出についての対応とお客様へのお願い

(1)外部からの該当Webページへのアクセスの遮断
    2020年2月13日午前10時15分に、該当Webページへのアクセス権限を本サイト管理者に限定する設定変更を実施しました。これにより、同時刻以降、外部からのアクセスは遮断されました。(2)googleの自動巡回プログラムによるアクセスについての対応
    上記のとおり、お客様45名全員につきまして、googleの自動巡回プログラムによる最低1回以上のアクセスが確認されております。
    2020年2月13日午後0時30分までに、弊社からgoogleに対して削除手続を申請し、同日午後2時30分には、googleの検索結果から、該当Webページへのリンクデータは完全に削除されました。なお、Yahooは、googleの情報を元に検索結果を表示するため、googleについて削除が完了したと同時に、Yahooにおいても検索結果として該当Webページへのリンクデータが完全に削除されております。
    これにより、同時刻以降にお客様の個人情報が検索結果として表示されることはございません。
(3)第三者による人為的なアクセスについての対応(お客様へのお願い)
    上記のとおり、45名のお客様全員につきましてgoogleの自動巡回プログラムによるアクセスが、またうち12名のお客様につきましてはさらに上記のとおり第三者による人為的なアクセスが確認されております。
 
    流出した可能性のある情報を悪用した迷惑メールや迷惑電話が発生する可能性もございます。各携帯電話会社の情報によりますと、迷惑メールによる被害には以下のようなものが報告されております。
・メールや添付ファイルの開封をすることでウィルスに感染してしまう・記載されたURLにアクセスすることでフィッシング詐欺に誘導され、ログイン情報等を盗み取られ、不正利用される    これらの被害を防止するためには、お客様におかれまして、スマートフォン等について対策を講じていただく必要がございます。つきましては、大変お手数をおかけしまして申し訳ございませんが、45名すべてのお客様におかれまして、以下のご対応をいただきますようお願い申し上げます。
 
【迷惑メールへのご対応】
    携帯電話会社やプロバイダでは、迷惑メール受信防止のためのフィルタリングサービスを提供しております。つきましては、下記関連ページをご参照いただきまして、受け取りたくないアドレスやドメインを指定して受信拒否を設定いただきますようお願い申し上げます。
    機能の設定方法が不明な場合は、大変お手数ではございますが、ご利用中の携帯電話会社やプロバイダにお問い合わせくださいますようお願い申し上げます。
 
    各携帯電話会社の迷惑メール関連ページ
【docomo】https://www.nttdocomo.co.jp/info/spam_mail/
【au】http://www.au.kddi.com/support/mobile/trouble/forestalling/mail/
【Softbank】http://www.softbank.jp/mobile/support/antispam/

 
【迷惑電話や不審なお電話へのご対応】
    知らない電話番号からのお電話にご注意くださいますようお願い申し上げます。
    また、今回の事態に乗じて弊社を装って、お客様にキャッシュカードの暗証番号やクレジットカード番号等をお聞きするようなお電話がある可能性も想定されますが、弊社では、今回の事態に関する対応において、お客様にそのような情報をお聞きすることは一切ございません。
    そのようなお電話がございましたら、決してお教えにならないようにご注意くださいますようお願いを申し上げますとともに、大変お手数ではございますが、弊社までご連絡をくださいますようお願い申し上げます。

 

4.原因と再発防止策

(1)原因
    今回の事態が発生する前は、お客様の個人情報掲載Webページへのアクセス権限が本サイト管理者に限定されておりました。
    ところが、弊社の委託システム会社の担当者が単独で本サイトのシステム改修を実施した際、そのアクセス権限の限定を解除し、外部からのアクセス制限を解放してしまったことが判明いたしました。
    弊社としましては、今回の事態は、相互確認による人為的ミスの防止措置を徹底させるといった委託会社に対する管理監督上の注意を怠ったことに原因があると考えております。
(2)再発防止策
    弊社では、今回の事態を厳粛に受け止めるとともに、お客様の信頼を回復できるよう、原因を踏まえまして、下記の再発防止策に全力で取り組んで参ります。
    ① 委託業者についての選定基準の見直し
    委託業者について、特に個人情報の安全管理に重点をおいた情報管理体制の構築・遵守についての選定基準を新たに設け、その基準に従ってシステム管理の適性を慎重に審査した上で、委託業者を選定いたします。
    ② システム改修時のフローの見直し
    弊社から委託業者へのシステム改修を依頼するにあたっては、弊社において2名以上でシステム改修内容を精査するとともに、委託業者との間で改修における作業内容について詳細まで確認を行った上で、システム改修を依頼いたします。
    ③ システム改修時の確認作業の見直し
    委託業者がシステム改修を実施する際には、委託業者において2名以上での改修作業を担当させることを徹底させ、改修作業完了前には弊社において最終確認作業を徹底いたします。
    また本番環境への反映時においては、改修作業担当者とは別の者による再度の確認作業の実施を徹底いたします。

 

5.今後のお客様への対応

    個人情報が外部から閲覧可能な状態になっておりました45名のお客様には、全員を対象として、メールまたはお電話等にて、順次、外部からのアクセス状況の詳細を個別にご報告させていただきます。
    その際の担当者、メールアドレスとお電話番号は、後記6のとおりでございますので、あらかじめご承知おきくださいますようお願い申し上げます。

 

6.本件に関するお問い合わせ窓口

株式会社メディカルシステムサービス
事業開発部 担当:福原または原
◆電話:03-5937-1557 (土・日・祝日を除く10:00~17:00)
◆メール:support@mss-group.co.jp

 

以上

copyright (c) LOYAL WAM TOWN, ALL RIGHTS RESERVED.