委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保

三菱重工健康保険組合は、2017年に承継した日本輸送機健康保険組合（ニチユ健保）に関する個人情報が外部に流出した可能性があることを明らかにした。

業務委託先の関西情報センター（KIIS）や再委託先であるニッセイ情報テクノロジー（NISSAY IT）より報告を受け、事態が判明した。

同団体によれば、ニチユ健保の健康保険業務に関するデータ移行作業を2016年にKIISへ委託。NISSAY ITへ再委託されていたが、情報管理の不備により、ニチユ健保と委託関係にないヒロケイに個人情報がわたっていたという。

ヒロケイでは、VPN機器に設定不備があり2024年4月に外部よりサイバー攻撃を受け、ランサムウェア「Phobos」による被害が発生。同社関連や取引先より受託していた情報が被害を受けたが、対象となったサーバにニチユ健保の個人情報も含まれていたことが判明した。

氏名や性別、生年月日、住所、電話番号、保険証番号、標準報酬月額、賞与額、社員コード、所属コード、被扶養者の氏名、生年月日などが流出したおそれがある。医療機関の受診歴や健康診断結果など要配慮個人情報は含まれていなかった。

同問題を受けて同団体では8月19日に個人情報保護委員会へ報告。9月17日より対象者と書面で連絡を取っている。

（Security NEXT - 2024/09/20 ） ツイート

PR

関連記事

成人の日記念行事の案内ハガキを紛失 - 福岡市
患者の個人情報含む書類をFAXで誤送信 - 千葉労災病院
ネットワーク侵害を確認、詳細を調査 - テーオーシー
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
エンドポイント管理製品「Ivanti EPM」に複数脆弱性 - 「クリティカル」も
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消
複数Fortinet製品に認証回避の深刻な脆弱性 - 影響確認と対策を
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処