当所会員管理業務に関わる委託事業者における情報漏えいについて

カテゴリー:

 当所の会員管理業務システムに関わるサービスを提供し、当所の会費請求業務の一部を受託しているサンネット株式会社(小田原市栄町)のネットワークにおいて、令和4年9月20日から令和7年3月3日の間、当所会員の一部の情報に関わるデータファイルが第三者から閲覧可能な状態になっており、そのすべてのファイルにアクセスがあったことが判明しました。
 現時点で本件に関わる情報の不正利用は確認されておらず、また、本事案が発生した原因も特定されており、速やかに同社のネットワークへの外部アクセスを遮断する対策が講じられ、セキュリティは改善されています。
 今後も引き続き同社より詳細な報告を受けるとともに、再発防止策の策定を求め、契約に基づいた秘密保持義務が遵守されるよう徹底してまいります。
なお、個人情報を含む情報漏えいの対象となった会員の方々には、4月上旬までに個別に書面で報告します。

1.情報漏えいの概要

(1)発生の状況
 令和7年3月3日に、当所と同社が会員管理システムの運用に関する指示連絡に利用している同社ホームページに設置した専用Webフォームで送信した添付ファイルが、第三者から参照できる状態であることを、個人情報保護機関を通じて同社が指摘されました。同社が調査した結果、同社のホームページサーバの一部ディレクトリが第三者から参照可能になっていたためであり、当所が送信した添付ファイルも含まれていることが判明しました。このファイルの中に個人情報が一部含まれていました。

(2)漏えいした情報と件数等

情報 一部個人情報を含む当所会員事業所情報および非会員事業所情報
当所情報(同社との契約書及び検収書、さがみナビID及びPW)
内容 事業所№、事業所名、代表者名、住所、
電話番号(携帯電話番号をご登録の場合携帯電話番号)、
請求情報(口数、金額等の会費情報)、
会費振替口座情報(金融機関、口座番号、口座名義)
対象 当所より同社へ会費請求書(振込依頼書・集金請求書)印字代行作業指示および
データ修正指示を行った事業所
件数 事業所名のみ・・・368件
事業所情報(一部個人情報を含む)と請求情報・・・2,190件
事業所情報(一部個人情報を含む)と請求情報および口座情報 ・・・1件
当所情報・・・11件
合計2,570件
事業所数 1,496件

(3)事象発生の原因
 令和4年9月に同社が当所との会員管理システムの運用で指示連絡に利用する専用Webフォームを同社ホームページに設置した際に、同社のホームページサーバの一部ディレクトリが外部から参照可能になっていたことが原因です。

2.対応について

(1)当所の対応
 情報漏えいの対象となった事業所への文書通知を行います。
 また、令和7年3月14日の同社報告により漏えいの対象となる情報の件数が1,000件を超えていたことから個人情報保護委員会への報告を行いました。

(2)同社の対応
 本件の事象を確認後、直ちに同社ホームページの専用Webフォームに添付されたファイルが第三者に参照されないようにセキュリティの設定をするとともに、関係機関(個人情報保護委員会及び一般財団法人日本情報経済社会推進協会)へ報告し、助言を仰ぎ対応しています。

 第一報  https://www.sunnet.co.jp/information/20250306-copy.html
 第二報 https://www.sunnet.co.jp/information/20250314-dainihou.html

(3)再発防止策
 当所と同社は、会員管理システムの運用での指示連絡を同社ホームページに設置した専用Webフォームで行っていましたが、同社のシステム保守問い合わせ窓口へ直接メールで指示連絡を行うように運用を変更しました。また、同社はホームページのセキュリティ強化対策として専用Webフォームでのファイル添付機能を削除しました。
 本件事故の発生を厳粛に受け止め、同社は運用している個人情報の取り扱いに関する規程(※1)やセキュリティに関する規程(※2)を2025年3月19日までに見直しました。見直す規程には、システムの変更や新たな運用を開始する時にセキュリティ要件チェックシートを用いることも追記したうえで、同社社員が規程に沿った行動を徹底できるように2025年3月31日までに同社で教育を実施します。また、定期的に実施している同社の内部監査で、見直した規程に沿った運用が行われていることを確認し、適切な対応を維持します。

 ※1 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
 ※2 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
    QMS(ISO9001)品質保証に関する規程(QMS―P―15)

以上

〈本件問い合せ〉
サンネット株式会社 セキュリティ対策本部
電話:0465-22-9707
受付時間:平日9時〜17時(土日祝日を除く)

相模原商工会議所 総務課(対応責任者 高井)
電話:042-753-8131
受付時間:平日8時30分〜17時(土日祝日を除く)