ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 組織でさがす > 産業観光部 > 産業雇用政策課 > 「Out of KidZania in こおりやま 2024事業」における報道資料について

本文

「Out of KidZania in こおりやま 2024事業」における報道資料について

ページID:0128796 更新日:2024年12月9日更新 印刷ページ表示

【12月9日】「Out of KidZania in こおりやま2024 事業」における再委託先事業者のサーバーへの不正アクセスについて

 「Out of KidZania in こおりやま2024 事業」(※)において、運営業務を委託している株式会社東北博報堂福島支社(以下「東北博報堂」という。)の再委託先である、株式会社エクシードコネクト(以下「エクシードコネクト」という。)のサーバーがランサムウェアの被害を受けたことに伴い、エクシードコネクトがサーバー内を調査した結果、本事業に係る個人情報が保管されていたことが判明しました。

不正アクセス説明図

※「Out of KidZania in こおりやま2024 事業」
・主 催:郡山市
・開催日:12 月14 日(土曜日)、15 日(日曜日)
・会 場:AGC エレクトロニクス郡山カルチャーパークほか

〇受託事業者:東北博報堂
〇再委託先事業者:エクシードコネクト

1 判明した経緯
 11 月28日(木曜日)エクシードコネクトが自社サーバーへの不正アクセスを覚知
           外部専門機関による調査によりランサムウェアの被害を確認
 11 月29日(金曜日)から随時
           エクシードコネクト及び外部専門機関による情報確認、方向性確認作業
 12 月  2日(月曜日)エクシードコネクトから本事案について東北博報堂に報告
 12 月  3日(火曜日)エクシードコネクトから本事案について個人情報保護委員会に報告
 12 月  4日(水曜日)個人情報保護委員会から本事案についてエクシードコネクトに指導の連絡
 12 月  5日(木曜日)東北博報堂から本事案について本市に報告

2 サーバー内に保管されていた情報
 「Out of KidZania in こおりやま2024 事業」参加申込者の情報:1,513 件
 (参加申込者氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス)
 ※クレジットカード情報は含まれておりません。

3 対応状況
 エクシードコネクトにおいて、不正アクセスを確認後、対象サーバーのネットワークへの外部からの経路は速やかに遮断し、それ以降、外部からアクセスできないよう対策を講じたとのことであり、現在、外部の専門機関の協力を得て調査を進めているところです。
 12 月9日(月曜日)正午時点で、外部への情報流出の痕跡や情報が不正利用された事実は確認されておりません。
 リストに掲載されている皆様には、12 月9日(月曜日)に、事案の報告及びお詫びの文書を発送しました。

4 今後の対応
 委託事業者から引き続き状況報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。改めて判明した事実は、市ウェブサイトなどでお知らせします。
 なお、本業務のうち個人情報の管理業務につきましては、再委託先事業者を変更するなど管理体制を見直し、情報セキュリティの更なる安全性の確保を図っていきます。

【11月20日】「Out of KidZania in こおりやま2024事業」における電子メールの誤送信について

 「Out of Kidzania in こおりやま2024事業」(※)において、受託事業者及び再委託先事業者が、11月15日(金曜日)から16日(土曜日)にかけて、本市宛てに電子メールを送信する際、そのメールアドレスが誤っていたことが判明いたしました。誤送信先は1か所です。
 このメールには、516件の個人情報が記載されたデータが添付されており、個人情報の漏洩のおそれがあることから、現在送信先について調査中です。
 なお、現時点で本件に係る個人情報等の不正利用等は確認されておりません。
 今後このようなことが起こらないよう、本市として情報セキュリティ対策基準の徹底を図るとともに、事業者を指導し、適正な事務処理と再発防止に努めてまいります。

​※「Out of Kidzania in こおりやま2024事業」
 ・主 催:郡山市
 ・開催日:12月14日(土曜日)、15日(日曜日)
 ・会 場:AGCエレクトロニクス郡山カルチャーパークほか

 〇受託事業者:株式会社東北博報堂福島支社(以下「東北博報堂」という。)
 〇再委託先事業者:株式会社エクシードコネクト(以下「エクシードコネクト」という。)

1 判明の経緯
 11月16日(土曜日)15時20分に、「Out of Kidzania in こおりやま2024事業」の「当選者リスト」(申込者多数のため各体験プログラムの抽選を実施)を本市に送信する際、メールアドレスを誤って送信した旨の連絡が、東北博報堂から本市にあった。

2 概要
イメージ図

・11月15日(金曜日)21時29分に、エクシードコネクトが、【図中(1)】当該リスト(12月14日、15日開催分の2つのデータ)を本市に送信(東北博報堂へもccで送信)する際、本市宛てのメールアドレスの入力を誤った。なお、開封に必要なパスワードは送信していない。
・11月16日(土曜日)9時20分に、東北博報堂が上記メールを確認したところ、パスワードが送信されていないことに気づき、【図中(2)】エクシードコネクトから事前に聞いていた12月14日開催分のパスワードのみ、【図中(3)】同一の誤ったメールアドレス宛てに送信した。
・11月16日(土曜日)9時24分に東北博報堂が、11月15日(金曜日)21時29分及び11月16日(土曜日)9時20分に送信したメールの宛先が郡山市のメールアドレスではないことに気づき、調査を開始した。​
 漏洩のおそれがある個人情報 … 参加者の氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス
 漏洩のおそれがある個人情報の件数 … 516件(12月14日開催の当選者分)
​・11月16日(土曜日)15時20分に、東北博報堂から本市へ電子メールの誤送信についての報告あり。​

3 原因
 メール送信時のアドレス入力を誤り送信したため。

4 対応
・誤送信先のメールアドレスの所有者が不明なため、11月16日(土曜日)20時25分に、エクシードコネクトから、データ削除の依頼を誤送信先にメール送信した。
・誤送信先に対し、11月16日(土曜日)から繰り返し連絡しているが、11月20日(水曜日)時点において、先方からの返信等がないため、削除確認は取れていない。引き続き先方へ削除確認の依頼メールを送るとともに、誤送信先のメールアドレス所有者の調査を実施している。
・リストに掲載されている皆様には、11月19日(火曜日)に電話による状況説明及び謝罪と併せ、本日11月20日(水曜日)に文書を発送した。

5 再発防止策
 本市として、メールの取扱いに係る情報セキュリティ対策基準に基づいた適正な管理にさらに努めてまいります。
また、東北博報堂及びエクシードコネクトに対し、原因分析を行うとともに、複数人による二重チェックを徹底するなど、適正な個人情報の取扱いを徹底するよう指導してまいります。