公表日 |
2025年4月8日 |
漏洩元 |
山形市立の小学校 |
漏洩件数 |
数十? |
漏洩内容 |
児童や保護者の氏名、児童の性格、学力検査の結果、家庭環境など |
原 因 |
教諭が、3月7日午後2時40分ごろ、担当する学年のすべての保護者にPTA役員選出に関する名簿をメールで送ったところ、添付ファイルに児童数十人分の学力検査の結果や家庭状況といった個人情報が誤って含まれていた。 |
発見者 |
保護者の指摘でわかった。 |
対 応 |
学校が保護者にファイルそのものを削除するよう要請した。 |
参考サイト |
https://www.city.yamagata-yamagata.lg.jp/kosodatekyoiku/kyoikuiin... https://www3.nhk.or.jp/lnews/yamagata/20250408/6020023645.html |
公表日 |
2025年4月8日 |
漏洩元 |
ユー・アンド・アース |
漏洩件数 |
クレジットカード情報890個人情報1506 |
漏洩内容 |
クレジットカード情報:カード名義、カード番号、有効期限、セキュリティコード、登録メールアドレス(ログインID)、ログインパスワード個人情報:氏名、会社名(任意)、住所、電話番号、メールアドレス、生年月日(任意)、ログインパスワード、注文履歴 |
原 因 |
サイトの一部システムに存在していた脆弱性が悪用され、ペイメントアプリケーションが改ざんされた。 |
発見者 |
2024年6月6日、警視庁よりクレジットカード情報漏えいの懸念について通報を受ける。 |
対 応 |
クレジットカード決済を停止 被害対象のユーザーへの連絡 |
参考サイト |
https://youandearth.com/ https://rocket-boys.co.jp/security-measures-lab/hotstrap-ec-site-data-breach-2025/ |
公表日 |
2025年4月8日 |
漏洩元 |
山口大学医学部付属病院 |
漏洩件数 |
14 |
漏洩内容 |
患者情報:氏名や、性別、年齢、既往歴、診断名など |
原 因 |
内規に反して医師が申請せずに、3月13日に学会発表の準備のため個人情報を含むファイルをUSBメモリに保存。その後、USBメモリを所持したまま病棟での業務を行い、帰宅し、紛失した。USBメモリにはパスワードが設定されていた。 |
発見者 |
医師が3月15日にUSBメモリの紛失に気づいた。 |
対 応 |
? |
参考サイト |
https://www.yamaguchi-u.ac.jp/hosp/news/ https://news.ntv.co.jp/n/kry/category/society/kr9d9f69574e7b496b9bf10ef89890c926 |
公表日 |
2025年4月3日 |
漏洩元 |
熊本市 |
漏洩件数 |
562 |
漏洩内容 |
申請者の氏名、生年月日、年齢、申請理由など |
原 因 |
2024年12月26日に開催された教育委員会会議で使用された2024年度の高校等進学支援金の申請者に関する資料をPDFにして公開したところ、黒塗り部分にテキストデータが残存していた。 |
発見者 |
2025年3月14日に市のコールセンターに申請者からの連絡が寄せられたことにより発覚した。 |
対 応 |
3月16日に該当資料を削除した。 検索エンジン運営会社に対して表示削除を依頼した。 申請者全員に対し、謝罪と事案の説明文書を郵送した。 |
参考サイト |
https://www.city.kumamoto.jp/kiji00363375/index.html https://act1.co.jp/2025_04_09-1/ |
公表日 |
2025年4月2日 |
漏洩元 |
日本健康文化振興会 |
漏洩件数 |
5300 |
漏洩内容 |
要配慮個人情報を含む健診対象者・受診者の個人情報、同会役職員に関する個人情報 |
原 因 |
2025年3月14日に職員がPCを私的に自宅へ持ち帰ったところ紛失した。Windows 11のBitLockerと規定パスワードで保護されていた。 |
発見者 |
3月17日の出勤時にカバンごと紛失した。 |
対 応 |
警察へ盗難を含む「被害届」を提出した・ 利用者向けの健診申込サイト「けんしんナビ」については、セキュリティ確保の観点からメールアドレスの変更受付を停止。 |
参考サイト |
https://www.healthnet.or.jp/information/2025/000442.html https://act1.co.jp/2025_04_09-2/ |
公表日 |
2025年3月28日 |
漏洩元 |
JA鹿児島県信連 |
漏洩件数 |
約500 |
漏洩内容 |
本会取引先・JAグループ関係者等の氏名・電話番号等 |
原 因 |
私用携帯電話に登録していた個人情報を貸金業者を名乗る人物に提供していた。 |
発見者 |
貸金業者を名乗る人物からの通報。 |
対 応 |
関係先への謝罪と事情説明 監督官庁への報告 警察への連絡・相 |
参考サイト |
https://www.jabank-kagoshima.or.jp/info-shinren/jabank-482 https://act1.co.jp/2025_04_07-2/ |
公表日 |
2025年4月4日 |
漏洩元 |
川崎市市立小学校12校 イシクラ |
漏洩件数 |
5840 |
漏洩内容 |
児童や職員の氏名や個人写真、学年や組ごとの集合写真など |
原 因 |
卒業アルバム制作を委託したイシクラのサーバが2024年5月に不正アクセスを受けたため。 |
発見者 |
? |
対 応 |
対象者へ事案の概要と問い合わせ先を記載した文書を発送 |
参考サイト |
https://www.city.kawasaki.jp/templates/prs/880/0000175798.html https://www.ishikura.co.jp/news/386 https://www.yomiuri.co.jp/national/20250404-OYT1T50210/ |
公表日 |
2025年4月1日 |
漏洩元 |
鴨川市 |
漏洩件数 |
市民382職員903 |
漏洩内容 |
市民:氏名、生年月日、性別、住所、電話番号、メールアドレス職員:氏名、生年月日、性別、住所、電話番号、人事管理等情報(異動希望、健診記録、病気休暇記録、休職履歴、降格希望、懲戒処分情報、職員の復職判定資料、職員に係る訴訟資料) |
原 因 |
水道課の主査を務めていた職員が、2023年4月から2024年10月までの間、ほかの職員のアカウントとパスワードを使って複数回にわたって自分の所属ではない5つの課の情報に不正にアクセスし、入した情報を業務用パソコンや私物USBメモリにコピーしていた。 |
発見者 |
2024年10月23日に発覚した。 |
対 応 |
鴨川警察署に通報した。 個人情報保護委員会へ通報した。 主査は休職し、市は処分を今後決める。 |
参考サイト |
https://www.city.kamogawa.lg.jp/soshiki/2/34615.html https://www3.nhk.or.jp/shutoken-news/20250401/1000115949.html https://www.chibanippo.co.jp/news/national/1421718 |
公表日 |
2025年3月31日 |
漏洩元 |
グローバー社 |
漏洩件数 |
クレジットカード情報 1909個人情報 16795 |
漏洩内容 |
2020年10月10日から2024年11月19日までの間にショップで購入した顧客のクレジットカード情報や故人情報:氏名、生年月日、性別、住所、電話番号、メールアドレス、マイページのログインパスワード、カード名義人名、クレジットカード番号、有効期限、セキュリティコード |
原 因 |
「GAORAオンラインショップ」のシステムに存在した脆弱性を悪用され、決済システム(ペイメントアプリケーション)が改ざんされたため。 |
発見者 |
2024年11月18日に外部機関から「サイトに不審なスクリプトが埋め込まれ、顧客情報が流出している可能性がある」との指摘を受けた。 |
対 応 |
GAORAオンラインショップを閉鎖した。 被害対象となるカード取引の監視と不正利用の防止を実施 個人情報保護委員会と和歌山県警察サイバー犯罪対策課にそれぞれ被害報告を行っている。 |
参考サイト |
https://www.gaora.co.jp/info/news/2928 https://act1.co.jp/2025_04_04-2/ |
公表日 |
2025年3月28日 |
漏洩元 |
神戸須磨シーワールド |
漏洩件数 |
12931 |
漏洩内容 |
2024年5月29日から2025年2月27日までの間に「KOBEこども割クーポン利用申請システム」を利用した代表者の氏名、住所、生年月日、メールアドレス、来館予定日、来館人数、こども割対象者の氏名と生年月日 |
原 因 |
特定の操作によって他の申込者の個人情報が表示される可能性がある。 |
発見者 |
2025年2月27日、利用者からの指摘によって発覚した。 |
対 応 |
2025年3月6日に個人情報保護委員会へ報告 影響を受けた可能性のある利用者への連絡を開始 |
参考サイト |
https://www.kobesuma-seaworld.jp/news/4788/ https://act1.co.jp/2025_03_28-2/ |
公表日 |
2025年3月28日 |
漏洩元 |
NHK |
漏洩件数 |
502 |
漏洩内容 |
氏名、メールアドレス、モニター番号、システムのログインID、初期パスワード |
原 因 |
放送番組モニターに誤った個人情報を送信した。2020年1月から現在のシステムを使用しているが、今までトラブルはなかったという。システムログ、ユーザーログを精査して、外部からの不正アクセス、攻撃ではなく、使用方法も間違っていなかったという。現在までのところ原因は分かっていない。 |
発見者 |
3月21日にメールが送信され、当日のうちに問い合わせが来て、トラブルが発覚した。 |
対 応 |
モニターに謝罪し、誤送信されたメールの削除を依頼した。当該システムから個人情報を記したPDFファイルを添付したメールの送信を停止、必要に応じて郵送などの手段を使っている。 |
参考サイト |
https://www.nhk.or.jp/info/otherpress/pdf/2024/20250328.pdf https://www.nikkansports.com/entertainment/news/202503280001001.html |
公表日 |
2025年3月25日 |
漏洩元 |
荒畑園 |
漏洩件数 |
73684(個人情報)13094(クレジットカード情報) |
漏洩内容 |
「お茶の荒畑園公式サイト」利用者の個人情報:氏名・ふりがな、住所・電話番号、メールアドレスクレジットカード情報:カード名義人、カード番号、有効期限、セキュリティコード、氏名・ふりがな、住所・電話番号・メールアドレス |
原 因 |
公式ECサイトの一部の脆弱性を突かれ、ペイメントアプリケーションが改ざんされた。 |
発見者 |
2024年12月4日、システム会社から不正アクセスの連絡を受けた。 |
対 応 |
カード決済を停止した。 顧客への個別連絡を行う。 問い合わせ窓口の開設 個人情報保護委員会に報告 警察に被害申告 |
参考サイト |
https://corporate.arahataen.com/ https://rocket-boys.co.jp/security-measures-lab/ochano-arabataen-official-site-unauthorized-access-leak-70000-records/ |
公表日 |
2025年3月24日 |
漏洩元 |
静岡県看護協会 |
漏洩件数 |
約100000 |
漏洩内容 |
2011年4月1日~2024年12月4日に協会ホームページの研修申し込みフォームから送信を受けた申込者らの氏名、住所、電話番号、メールアドレス |
原 因 |
2024年12月4日に管理を外部委託していたウェブサーバーが不正アクセス攻撃を受けたため。推測できるパスワードを設定し、ソフトウェアを更新していなかった。 |
発見者 |
2024年3月末に静岡県警のサイバーパトロールが状況を把握した。 |
対 応 |
県警から指導と助言を受けた外部管理会社が既に対策を講じた。 |
参考サイト |
https://www.shizuoka-na.jp/archive/01/0112FPJKPPUPB5B.asp https://news.at-s.com/article/1690567 |
公表日 |
2025年3月21日 |
漏洩元 |
岩国健康福祉センター |
漏洩件数 |
102 |
漏洩内容 |
患者の個人情報:名前、生年月日、症状など |
原 因 |
3月18日、センターの職員が所長から指示され、食中毒調査の内容を所長の私用パソコンに送ろうとしたところ、誤ったアドレスに送信した。業務中に私用のパソコンを使用することは認められていない。 |
発見者 |
? |
対 応 |
誤送信したメールアドレスあてにおわびと削除依頼のメールを送りましたが、返信などはない。 |
参考サイト |
https://www.pref.yamaguchi.lg.jp/soshiki/53/ https://newsdig.tbs.co.jp/articles/tys/1804427?display=1 |
公表日 |
2025年3月19日 |
漏洩元 |
リクルート |
漏洩件数 |
104000 |
漏洩内容 |
会員情報:氏名、性別、生年月日、住所、電話番号、メールアドレス、ニックネーム、暗号化(ハッシュ化)されたパスワードなど |
原 因 |
『北海道じゃらん』サイトに対する不正アクセス |
発見者 |
2025年3月19日、不正アクセスを検知 |
対 応 |
『北海道じゃらん』サイトの一時停止 問い合わせ窓口を設置 |
参考サイト |
https://www.recruit.co.jp/newsroom/pressrelease/2025/0319_15575.h... https://www.hokkaido-np.co.jp/article/1137053/ |
公表日 |
2025年3月18日 |
漏洩元 |
ファーストリテイリング |
漏洩件数 |
? |
漏洩内容 |
2018年1月から2021年5月の間にファーストリテイリングと取引があった事業者の従業員情報(名前、社名、電話番号、メールアドレス)2023年4月から2024年9月の間にユニクロまたはジーユーの店舗に在籍していた従業員情報(名前、会社貸与のメールアドレス、従業員番号)2018年5月から2023年9月までにファーストリテイリング本部に在籍していた従業員情報(名前、社名、所属部署、会社貸与の電話番号、会社貸与のメールアドレス、従業員番号) |
原 因 |
情報システムが第三者による不正アクセスを受けた。 |
発見者 |
2024年9月13日にシステムが不正アクセスを検知 |
対 応 |
不正アクセスを検知後、直ちに、対象となった情報システムへの通信経路を遮断、当該情報システムの稼働を停止 対象者にはすでにメールなどで連絡をしている。 個人情報保護委員会をはじめとする関係各機関と連携し、必要な対応を進めている。 |
参考サイト |
https://www.fastretailing.com/jp/group/news/2503181100.html https://www.itmedia.co.jp/news/articles/2503/18/news155.html |
公表日 |
2025年3月17日 |
漏洩元 |
はたけなか製麺 |
漏洩件数 |
クレジットカード情報 824個人情報 4142 |
漏洩内容 |
2021年4月20日~2024年8月22日の期間中に「はたけなかオンラインショップ」を利用した顧客のクレジットカード情報(クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティーコード)2020年7月1日~2024年8月22日の期間中に同ショップで入力した個人情報(氏名、メールアドレス、郵便番号、住所、電話番号など) |
原 因 |
サイト内のプログラムの一部が不正に改ざんされた。 |
発見者 |
2024年7月17日に宮城県警から連絡を受けた。 |
対 応 |
「はたけなかオンラインショップ」を停止し、不正プログラムを除去した。 個人情報保護委員会に報告した。 クレジットカード情報や個人情報が漏洩した可能性のある顧客に対して、電子メールで順次連絡している。 |
参考サイト |
https://hatakenaka.jp/blogs/news/%E5%BC%8A%E7%A4%BE%E3%81%8C%E9%8... https://xtech.nikkei.com/atcl/nxt/news/24/02290/ |
公表日 |
2025年3月14日 |
漏洩元 |
小諸市 |
漏洩件数 |
249 |
漏洩内容 |
停車場ガーデン利用者の氏名、メールアドレス |
原 因 |
3月6日に、指定管理者が運営する「停車場ガーデン」がサイバー攻撃を受けホームページを改竄された。 |
発見者 |
? |
対 応 |
流出した人に対しおわびと注意喚起のメールを配信 |
参考サイト |
https://www.city.komoro.lg.jp/material/files/group/3/2025031401.p... https://www.abn-tv.co.jp/news-abn/?detail=00040145 |
公表日 |
2025年3月14日 |
漏洩元 |
静岡県 |
漏洩件数 |
1455 |
漏洩内容 |
東京オリンピック・パラリンピックに関係した個人情報:氏名や住所 |
原 因 |
大会開催時に使用していたUSBメモリ4本を紛失した。2021年の5月以降に紛失し、当時使用していた担当課からスポーツ政策課に引き継いだ際に、紛失した可能性がある。USBメモリにはパスワードが設定されている。 |
発見者 |
1月29日、庁内の点検で紛失が発覚した。 |
対 応 |
相談窓口を設置 保存されていた可能性のある人にメールや郵送で窓口を案内した |
参考サイト |
https://www.pref.shizuoka.jp/newslist.html https://look.satv.co.jp/content_news/incident/53293 |
公表日 |
2025年3月13日 |
漏洩元 |
東亜大学 |
漏洩件数 |
17276 |
漏洩内容 |
在学生や卒業生を含む個人情報:氏名(漢字,カタカナ)、性別、生年月日、メールアドレス、学籍番号、学生ポータルサイトのパスワード、所属学部・学科等、出身高校、就職先・職種・面談情報など |
原 因 |
Webアプリケーションのセキュリティ上の脆弱性が悪用され、データサーバーが不正アクセスを受けた。 |
発見者 |
2024年12月11日に「東亜大学公式サイトのアドレスをWeb検索した際に、まったく関係のない外部サイトへのリンクが表示される」との通報があり発覚した。 |
対 応 |
サーバーやネットワーク機器の脆弱性を修正し、設定を強化 定期的なセキュリティ教育の実施 システムの監視体制の強化 |
参考サイト |
https://www.toua-u.ac.jp/news/news-13502/ https://act1.co.jp/2025_03_17-1/ |
(この項つづく)
