委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保

三菱重工健康保険組合は、2017年に承継した日本輸送機健康保険組合（ニチユ健保）に関する個人情報が外部に流出した可能性があることを明らかにした。

業務委託先の関西情報センター（KIIS）や再委託先であるニッセイ情報テクノロジー（NISSAY IT）より報告を受け、事態が判明した。

同団体によれば、ニチユ健保の健康保険業務に関するデータ移行作業を2016年にKIISへ委託。NISSAY ITへ再委託されていたが、情報管理の不備により、ニチユ健保と委託関係にないヒロケイに個人情報がわたっていたという。

ヒロケイでは、VPN機器に設定不備があり2024年4月に外部よりサイバー攻撃を受け、ランサムウェア「Phobos」による被害が発生。同社関連や取引先より受託していた情報が被害を受けたが、対象となったサーバにニチユ健保の個人情報も含まれていたことが判明した。

氏名や性別、生年月日、住所、電話番号、保険証番号、標準報酬月額、賞与額、社員コード、所属コード、被扶養者の氏名、生年月日などが流出したおそれがある。医療機関の受診歴や健康診断結果など要配慮個人情報は含まれていなかった。

同問題を受けて同団体では8月19日に個人情報保護委員会へ報告。9月17日より対象者と書面で連絡を取っている。

（Security NEXT - 2024/09/20 ） ツイート

PR

関連記事

マンション管理業務主任者登録の申請書類が所在不明に - 国交省
個人情報含む伝票綴りを紛失、誤廃棄の可能性 - JAおきなわ
中学校で卒業生の個人情報が生徒用端末から閲覧可能に - 半田市
MS、6月の月例パッチを公開 - ゼロデイ脆弱性などへ対応
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートで修正
「FortiOS」に複数脆弱性 - 権限の昇格やセッション管理不備など修正
「Chrome」に複数脆弱性 - セキュリティアップデートで解消
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
ATM取引情報が保存された外部記録媒体を紛失 - 苫小牧信金
県営住宅家賃滞納者情報含む一部督促状を誤送付 - 神奈川県