委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保

三菱重工健康保険組合は、2017年に承継した日本輸送機健康保険組合（ニチユ健保）に関する個人情報が外部に流出した可能性があることを明らかにした。

業務委託先の関西情報センター（KIIS）や再委託先であるニッセイ情報テクノロジー（NISSAY IT）より報告を受け、事態が判明した。

同団体によれば、ニチユ健保の健康保険業務に関するデータ移行作業を2016年にKIISへ委託。NISSAY ITへ再委託されていたが、情報管理の不備により、ニチユ健保と委託関係にないヒロケイに個人情報がわたっていたという。

ヒロケイでは、VPN機器に設定不備があり2024年4月に外部よりサイバー攻撃を受け、ランサムウェア「Phobos」による被害が発生。同社関連や取引先より受託していた情報が被害を受けたが、対象となったサーバにニチユ健保の個人情報も含まれていたことが判明した。

氏名や性別、生年月日、住所、電話番号、保険証番号、標準報酬月額、賞与額、社員コード、所属コード、被扶養者の氏名、生年月日などが流出したおそれがある。医療機関の受診歴や健康診断結果など要配慮個人情報は含まれていなかった。

同問題を受けて同団体では8月19日に個人情報保護委員会へ報告。9月17日より対象者と書面で連絡を取っている。

（Security NEXT - 2024/09/20 ） ツイート

PR

関連記事

「Adobe Acrobat／Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
金融機関を装うフィッシングメールに警戒を - 報告が増加中
子会社で一部サーバがランサム被害、詳細を調査 - システムソフト
総務省の行政不服審査DB掲載裁決書に個人情報 - 沖縄県
燃料調達システムに不正アクセス、情報が流出 - 日本郵船
取引情報含むATMの記録ドライブ2台が所在不明 - ローソン銀
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を
若年層向け合宿イベント「セキュキャン2026」のエントリーがスタート
「抹茶シリーズ」に脆弱性、アップデートで修正 - OSS版は動作検証用
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正