- ホーム
- 【お詫びとご報告】業務委託先へのランサムウェア攻撃による個人情報の漏えいについて(第三報)
【お詫びとご報告】業務委託先へのランサムウェア攻撃による個人情報の漏えいについて(第三報)
2024年8月20日
弊社の業務委託先である株式会社イセトーがランサムウェアの攻撃を受けたことにより、弊社からの発送物の印刷・封入・送付業務を委託するために弊社から提供していた個人情報が漏えいした件について、生徒、保護者の皆様にご不安とご迷惑をおかけしておりますことを心よりお詫び申し上げます。
8月1日に株式会社イセトーからの最終報告を受けるとともに、以下のとおり、並行して行っていた弊社における全漏えいデータの調査も完了いたしましたので、ご報告申し上げます。なお、現時点において漏えいした個人情報を悪用された事例は確認されておりません。
1.経緯
弊社の業務委託先である株式会社イセトーがランサムウェアによるサーバー攻撃を受けて個人情報が漏えいするという事案が発生し、2024年6月28日、弊社が業務委託している個人情報が当該攻撃を受けたサーバーに含まれていることが発覚いたしました(同年6月29日付弊社オフィシャルサイトにて公表させていただいております)。
株式会社イセトーより、漏えいした情報に、会員様の住所、電話番号、iKUMONサイトの認証コード・セキュリティコードの情報が含まれているとの報告を受けたことから、その情報が含まれている漏えいデータについて、弊社独自の調査を優先的に実施し、漏えいしたデータに上記情報が含まれていた4,678名を特定いたしました。2024年7月5日、その調査結果について弊社オフィシャルサイトにて公表し、あわせて同日以降順次、対象の皆様に対して登録のご住所に個別に「個人情報の漏えいに関するお詫びとお知らせ」(封筒に「重要文書在中/差出人:株式会社公文教育研究会」と記載)のお手紙をお送りいたしました。また、上記対象者以外の方に状況をご報告する為に、同年7月22日以降順次、教室経由でお手紙をお渡ししております。
その後、さらに弊社において調査を継続し、この度調査を完了いたしました。その結果、下記2に記載のとおり、新たに個人情報の漏えいが判明いたしました。なお、新たに漏えいが判明した個人情報には会員様の連絡先情報(住所または電話番号)は含まれておりません。
2.継続調査の結果、新たに判明した漏えい情報
会員情報について
1)2023年2月時点において算数・数学、英語、国語を学習いただいた会員様の以下の情報
■氏名、会員番号、学習教材、教室名、学年、入会年月、在籍月数
対象者数:724,998名
※2023年1月末までの退会者は含まれませんが、2月休会者は含みます。
2)2023年2月時点における公文認定テストの受験資格を満たした一部の会員様の以下の情報
■氏名、会員番号、学習教材、教室名、学年、受験可能な公文認定テストの種類、過去に合格した公文認定テストのうち最高位のテストの種類
対象者数:71,446名
※公文認定テストは公文教育研究会の内部テストです。高い教材に進んだ生徒の学力を確認する為に、予め、受験対象となる教材進度が定められ、その条件を満たした生徒が対象となります。
3)2023年度第2回(8月)公文認定テストを受験された一部の会員様の以下の情報
■氏名、会員番号、教室名、受験された公文認定テスト名・スコア・合格情報
対象者数:2名
4)2023年2月におけるBaby Kumon会員様の以下の情報
■氏名、生年月日、年齢、入会年月、教室名、保護者氏名
対象者数:9,922名
※2023年1月末までの退会者は含まれませんが、2月未実施の方は含みます。
上記各項目の対象者には重複する方がいらっしゃいますので、漏えい件数の総数は739,714名です。
3.今後の対応
上記対象の皆様に対して、9月中旬に個別にお手紙をお送りしてご報告させていただく予定です。
ご連絡にお時間を要しておりますことをお詫び申し上げます。
なお、0・1・2歳の親子向けサービスであるBaby Kumonの会員情報については、入会時に弊社では住所および電話番号の情報を取得していないため、ご連絡を差し上げることができません。そのため、お手数をおかけし大変申し訳ございませんが、対象者であるかどうかのご確認を希望される場合は、こちらのアンケートフォームから必要事項をご記入ください。
元・現Baby Kumon会員様ご案内送付情報入力フォーム|公文教育研究会
このアンケートフォームにてお問い合わせをいただき、対象者であったと判明した皆様には、アンケートフォームにご入力いただきましたご住所宛に個別にお手紙をお送りさせていただきます。
対象者ではなかった皆様には、アンケートフォームにご入力いただきましたメールアドレス宛に対象外であった旨のお知らせをお送りさせていただきます。
4.再発防止への取り組み
今後同様の被害を防止し、また万一の場合にも被害を最小限とするために、以下の対策の実施を進めております。また、今後も継続的に改善をしてまいります。再発防止に向けた取り組みとその改善は、皆様の個人情報を適切に管理するために弊社の最優先課題として取り組んでまいります。
■弊社業務委託先に対して:監督の強化と取引の見直し
これまで実施してきた委託先における安全管理措置に対する弊社の審査基準を厳格化し、その基準に基づく委託先の管理状況の再確認と取引の見直しを進めております。
本件が、業務委託先がランサムウェアによる攻撃を受けたことにより発生したものであることを踏まえて、とくに、会員データおよび指導者データの取り扱いを委託している委託先における不正アクセスへの具体的な対策とデータの消去を含めたデータ運用方法をより詳細に確認しております。
あわせて、上記の個人情報の安全管理が担保されるように、業務委託契約書や秘密保持契約書における委託先との契約条項を見直し、委託条件を厳格化いたします。
また、委託先における個人情報の管理状況の確認・審査に加えて、不定期の監査なども今後実施してまいります。
■弊社内でのルールの再徹底について:ルールの厳格化と社員教育の徹底
個人情報の取り扱いを委託する際に、下記の点を含め、情報の提供時、業務終了時の対応について、より詳細な手順を定め、ルールを強化するとともに、社員に対して既存のルールとあわせて周知・徹底を図っております。
・委託先に個人情報を含むデータ提供をする際に提供データを最小限とする
・業務終了時の委託先における提供データの削除・廃棄を徹底し、その確認と記録を行う
今後も継続して、個人情報の取り扱いを委託する際の社内ルール等を含む個人情報保護に関する社員研修を定期的に実施し、安全で適切な個人情報の取り扱いの徹底を図ってまいります。
5.皆様へのお願い
万一、不審な電話・郵送物・電子メールが届くような事象が発生した場合、応答や開封の際はご注意いただきますようお願いいたします。公的機関の注意喚起情報なども含めたQ&Aは下記よりご覧ください。
【会員、元会員の皆様からのお問い合わせ窓口はこちら】
・特設フリーダイヤル:0120-372-311 (受付時間9:30~17:30 ※土日、祝日除く)
【メディア関係者のお問い合わせ窓口はこちら】
・広報チーム:03-6836-0030 (受付時間9:30~17:30 ※土日、祝日除く)
公文教育研究会
Q&A
①今回の個人情報漏えいの対象か、そうではないかはどう判断すればよいですか?
2023年2月時点において算数・数学、英語・国語を学習いただいた方が対象になります。
2023年2月退会者(1月末退会)は含まれませんが、同月休会者は含みます。
上記以外の方は、下記の会員の皆様が対象になります。
・2023年2月時点における公文認定テストの受験資格を満たした会員様の一部の方
・2023年度第2回(8月)公文認定テストを受験された会員様の一部の方
・2023年2月におけるBaby Kumon会員様
対象の方には9月中旬に個別にお詫びとご報告のお手紙をお送りいたします。ただし、ご登録住所へのお届けとなるため、住所変更をされていない方や住所不明の方には書簡が届かない場合もございます。ご了承ください。
なお、公文式本部通信(公文式教室の通信生を除く)、フランス語・ドイツ語・日本語、くもん書写の学習者の方、および、くもん出版の購入者の方の個人情報は漏えいの対象ではございません。
②口座番号・クレジットカード番号は漏えいしていますか?
会員の皆様の口座情報・クレジットカード番号は、漏えいの対象外です。弊社に関連する会費支払で使用しているK-front(銀行口座クレジット払いシステム)および会費引き落とし登録(紙での申請)におきまして、弊社で口座情報を保有しておりませんため、口座情報・クレジット番号について漏えいはございません。
③メールアドレスは漏えいしていますか?
メールアドレスの漏えいはございません。
④住所や電話番号は漏えいしていますか?
この度新たに漏えいが判明した会員様につきましては、住所と電話番号は漏えいしておりません。
7月5日弊社オフィシャルサイトにて公表いたしました4,678名の方につきましては、漏えい情報に住所と電話番号が含まれます。対象の方には、7月5日~9日にご登録住所へ「お詫びとお知らせ」の書面をお送りしております。
⑤今後の会社の対応はどうなりますか?
9月中旬に、対象者の皆様へ個別にお詫びとご報告のお手紙をお送りし、今回判明した事実をご報告させていただきます。
⑥今後、何に気をつけたらよいですか?
現時点において漏えいした個人情報を悪用された事例は確認されておりません。ご不安な場合には下記をご参照のうえ、各関連機関へご相談ください。
【消費生活センター】
不審な勧誘等があった際は、消費生活センターへご相談ください。
消費生活センターでは、商品やサービスなど消費生活全般に関する苦情や問い合わせなど、消費者からの相談を専門の相談員が受け付け、公正な立場で処理にあたっています。
消費者ホットライン 188番
こちらの消費者ホットラインで地方自治体が設置している身近な消費生活センターや消費生活相談窓口をご案内しています。
【全国の最寄りの警察署】
万が一詐欺等の被害が発生した場合や詐欺等が疑われる場合には、最寄りの警察署にご相談ください。
警察相談専用電話「#9110」
「#9110」番は、全国どこからでも、電話をかけた地域を管轄する警察本部などの相談窓口につながる全国共通の電話番号です。
受付時間:平日 午前8:30~午後5:15(各都道府県警察本部で異なります)
※ ダイヤル回線や一部のIP電話からのご利用はできません。
【ご注意ください】
警視庁生活安全部公式X(旧Twitter)では、サイバー攻撃による情報漏えい事案に便乗したメールが送られている状況が発生していると注意を呼び掛けています。弁護士等になりすまして「流出情報の削除のために口座に金を振り込んでください」など悪質な詐欺メールや脅迫メールが送られているとのことです。
金銭や不当な行為の要求には絶対に応じず、最寄りの警察署にご相談ください。また、このようなメールには返信や連絡をせず、メールに記載されているリンクをクリックしないようにご注意ください。