委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保

三菱重工健康保険組合は、2017年に承継した日本輸送機健康保険組合（ニチユ健保）に関する個人情報が外部に流出した可能性があることを明らかにした。

業務委託先の関西情報センター（KIIS）や再委託先であるニッセイ情報テクノロジー（NISSAY IT）より報告を受け、事態が判明した。

同団体によれば、ニチユ健保の健康保険業務に関するデータ移行作業を2016年にKIISへ委託。NISSAY ITへ再委託されていたが、情報管理の不備により、ニチユ健保と委託関係にないヒロケイに個人情報がわたっていたという。

ヒロケイでは、VPN機器に設定不備があり2024年4月に外部よりサイバー攻撃を受け、ランサムウェア「Phobos」による被害が発生。同社関連や取引先より受託していた情報が被害を受けたが、対象となったサーバにニチユ健保の個人情報も含まれていたことが判明した。

氏名や性別、生年月日、住所、電話番号、保険証番号、標準報酬月額、賞与額、社員コード、所属コード、被扶養者の氏名、生年月日などが流出したおそれがある。医療機関の受診歴や健康診断結果など要配慮個人情報は含まれていなかった。

同問題を受けて同団体では8月19日に個人情報保護委員会へ報告。9月17日より対象者と書面で連絡を取っている。

（Security NEXT - 2024/09/20 ） ツイート

PR

関連記事

先週注目された記事（2026年5月10日〜2026年5月16日）
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起
米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請
「PHP」に複数の「クリティカル」脆弱性 - アップデートで解消
エレコム製ルーターなどに複数脆弱性 - 21モデルに影響
スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ
「Exchange Server」に脆弱性 - すでに悪用を確認、パッチは準備中
Linuxカーネルにローカル権限昇格の脆弱性「Fragnesia」
Hitachi Vantaraのデータ統合分析基盤「Pentaho」に深刻な脆弱性
「VMware Fusion」に権限昇格の脆弱性 - 修正版を公開