福島県郡山市が主催するイベント「Out of KidZania in こおりやま2024」において、再委託先事業者のサーバーがランサムウェアの被害を受けたことに加え、メールの誤送信も発生していたことが判明した。
これにより、同事業に関連する個人情報の流出リスクが高まっており、主催者及び関係事業者が謝罪と再発防止策を講じている。
経緯
2023年11月28日、再委託先の「エクシードコネクト」社が自社サーバーへの不正アクセスを検知。
外部の専門調査機関の調査により、ランサムウェア被害を受けていたことが確認された。
12月2日にはエクシードコネクトが委託元である「東北博報堂」へ本件を報告したことで発覚している。
一方、メールの誤送信は11月15日から16日にかけて発生。
エクシードコネクトがイベント当選者リストを郡山市宛てに送信する際、誤ったメールアドレスに送付したことにより判明した。
東北博報堂が11月16日朝に誤送信に気づき、同日15時20分に郡山市へ報告している。
サーバーへの不正アクセスについては、ランサムウェアによる侵入が原因とされている。
メール誤送信に関しては、エクシードコネクトによる送信時に宛先メールアドレスの入力ミスが原因であったとそれぞれ報告されている。
被害状況
サーバー不正アクセスにより、イベント参加申込者1,513件分の個人情報(氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス)が保管されていたことが確認されている。
メール誤送信では、516件の当選者情報が添付されたファイルが誤って第三者に送信された。
添付ファイルはパスワード付きであったが、翌日に同一の誤アドレスに対してパスワードも送信されていた。
対応
不正アクセスが確認された後、エクシードコネクトは対象サーバーの外部ネットワーク接続を速やかに遮断。
外部からのアクセスを防止する措置を講じた。
2025年4月1日公表時点では外部流出や不正利用の事実は確認されていないとされており、外部調査機関の調査結果からは「ファイルサーバからデータがまとめて持ち出された可能性は極めて低い」とのこと。
また、誤送信されたメールについては、誤送信先に対して繰り返し削除依頼のメールを送っているが、所有者の特定には至っていない。
郡山市と各事業者は、関係者に対して電話での説明と文書による謝罪を実施。
今後は、個人情報管理業務に関して再委託先を変更し、管理体制の見直しを進める方針を示している。