委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保

三菱重工健康保険組合は、2017年に承継した日本輸送機健康保険組合（ニチユ健保）に関する個人情報が外部に流出した可能性があることを明らかにした。

業務委託先の関西情報センター（KIIS）や再委託先であるニッセイ情報テクノロジー（NISSAY IT）より報告を受け、事態が判明した。

同団体によれば、ニチユ健保の健康保険業務に関するデータ移行作業を2016年にKIISへ委託。NISSAY ITへ再委託されていたが、情報管理の不備により、ニチユ健保と委託関係にないヒロケイに個人情報がわたっていたという。

ヒロケイでは、VPN機器に設定不備があり2024年4月に外部よりサイバー攻撃を受け、ランサムウェア「Phobos」による被害が発生。同社関連や取引先より受託していた情報が被害を受けたが、対象となったサーバにニチユ健保の個人情報も含まれていたことが判明した。

氏名や性別、生年月日、住所、電話番号、保険証番号、標準報酬月額、賞与額、社員コード、所属コード、被扶養者の氏名、生年月日などが流出したおそれがある。医療機関の受診歴や健康診断結果など要配慮個人情報は含まれていなかった。

同問題を受けて同団体では8月19日に個人情報保護委員会へ報告。9月17日より対象者と書面で連絡を取っている。

（Security NEXT - 2024/09/20 ） ツイート

PR

関連記事

地域電子商品券「はばタンPay+」サイトで不具合、個人情報流出 - 兵庫県
買収予定関係者に個人情報含む用地実測図を誤送信 - 新潟県
業務用PCを紛失、賃借人の個人情報含む可能性 - コロンビア・ワークス
証明書発行システムがランサム被害、影響など調査 - 流通経済大
ベンダー設定ミスでFW機能不全、直後ランサム被害 - アクリーティブ
9月のフィッシング、報告が22万件超 - 悪用ブランド過去最多
政府、豪主導の「防御可能なアーキテクチャ」国際ガイダンスに署名
前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性