株式会社ピーシーキッド

東京にあるパチンコチェーン店の親会社にサイバー攻撃によって個人情報が33万件流出するという大量流出事件が発生した。2022年9月にサーバに障害が発生したため、原因を調査したところ、外部からの不正アクセスの痕跡があったため、急遽ネットワークを遮断し、本格的な調査を開始した。9月に調査した時点では、3700件弱の流出であったと発表したが、その後の調査により、それ以外にも流出の可能性が否めないということで、詳細な調査を行ったところ、顧客、取引先、従業員、退職者、応募者他の個人情報33万件を超える情報の流出が確認された。

流出した個人情報データ、氏名、電話番号、性別、生年月日、メールアドレス、口座番号など。流出した個人情報データは、ダークweb上に公開されていたのを確認したが、現状そのwebサイトにはアクセスできない状況。不正アクセス発覚後、直ちに警察、個人情報保護委員会に報告を済ませ、二次被害を防ぐために被害を発表した。再発防止のため、外部の専門家を委員とする調査委員会を立ち上げ、セキュリティの見直しを進めている。

楽器を扱う会社が2021年8月、webサイトからクレジット決済で商品を購入した1,667件のユーザーのクレジットカード情報が流出した可能性があることを報告した。同社の報告によると、同年2月、クレジットカード会社から、webサイトでカード購入した顧客のクレジットカード情報が流出している可能性があるとの指摘を受け、第三者調査期間に調査を依頼。調査により、webサイトの脆弱性をついた改ざんが認められた。2021年2月、同社は、クレジット決済による支払方法を停止させた。そのうえで、決済代行会社と協議し、顧客に対する迷惑を最小限に食い止める対応準備を整えた。

クレカ情報流出流出の原因は、webサイトの一部の脆弱性を狙った第三者の不正アクセスによるペイメントシステムの改ざんが行われたためとの調査結果を公表。流出したクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコードなど。インシデント発覚後、情報が流出した可能性がある顧客に個別にメールを発送し、またクレジットカード会社と連携し情報が漏洩した可能性があるクレジットカードのモニタリングを継続している。また、顧客がクレジットカード再発行の際には、顧客に手数料がかからないよう、配慮している。

会社は、事態を重く受け止め、再発防止のため、使用していたサーバやシステムは全て破棄。2021年6月に監督官庁である個人情報保護委員会と、所轄警察署に被害を報告。今後はセキュリティ対策及び監視体制の強化に努めると発表した。

2022年4月、国立の研究機関の職員が個人情報を含むUSBメモリを紛失。職員は、研究機関が貸与したUSBメモリを使用して職員採用に係る応募書類等の情報を保存していたが、当該USBメモリは暗号化されていなかった。自席の引き出しで保管していたが、引き出しは施錠されておらず、最後にUSBメモリを確認したのは、2021年11月。2022年4月職員が自席の引き出しからUSBメモリが紛失しているのに気がつき、上長に報告した。USBメモリには、会議資料や1000件を超える個人情報が保存されていた。

2022年12月時点においてまだUSBメモリは見つかっていない。個人情報の不正利用は確認されていないが、研究機関では、今回の事態を招いたことを重く受け止め、個人情報等機密性の高い情報の適切な取り扱いについて全職員に周知を徹底。本件により、情報漏洩の可能性がある人々に向けて特定記録郵便や電子メールで本件に関する概要の説明と謝罪が行われた。

今後の対応として、職員に貸与する媒体は暗号化対応媒体とし、情報セキュリテイポリシー遵守を徹底するよう、最高情報セキュリティ責任者から、当該職員と全役職員に対しての指導を行った。

2019年12月パソコンの買い取り・処分を請け負っている会社の社員が、処分する予定の記憶媒体を会社に無断で転売、情報が流出した。社員Aがメルカリやヤフオクに転売していたのは、自治体のサーバのHDD18本。2019年11月にその一部をIT企業の男性が中古購入し、エラーメッセージが出たので、HDD内のデータを取り出してみたところ、自治体の公文書情報が出てきたことに驚き、朝日新聞に情報を提供したことから大量情報流出事件が明るみになった。

2019年12月自治体が情報流出についての記者会見を行い、パソコンの処分を行っていた会社が問い合わせ窓口を設置し、記者会見を行い事の詳細を述べたると同時に落札者に連絡・回収のお願いをした。ヤフオクを運営するYahoo!Japanからも落札者にメールが送られ、自治体のサーバのHDDは全て回収された。社員Aは解雇され、懲役刑と罰金計に処された。捜査の結果、入社の翌年以降廃棄予定の記憶媒体などを繰り返し転売していた。他の社員が出勤する前に毎日持ち出しをし、800回以上繰り返した。データは自宅で消去し、架空の住所を使って発送していた。

パソコン処分会社は事件以降、新しく安全基準を設け、セキュリティゲートを設置。監視カメラを増設。再発予防に努めている。また、セキュリティコンプライアンス研修教育も行っている。

2009年1月、証券会社のシステム部部長代理Aが顧客情報のデータベースから148万人分の個人情報をCD-ROMにコピーし、名簿業者4社に50,000人分の個人情報(氏名、電話番号、住所、職業、年収など)を横流しした。さらに同年3月、122万件の企業情報も盗み出し売却した。3月中旬以降、顧客からの問い合わせが相次ぎ、証券会社は調査を開始した。すぐに犯人がわかり、Aは懲戒解雇された。Aは、他の社員のIDを使用して不正アクセスを行い顧客データを名簿業者に売却した不正アクセス禁止法違反と窃盗の罪で6月に逮捕された。社内調査の結果、少なくとも98社に顧客データが不正に売却されていた。

Aは情報売却益35万円を弁済すると申し出たが、証券会社はこれを拒否。Aに対して損害賠償請求を起こす準備をした。 事件の余波は、証券会社の企業イメージと信用を失墜させ、多大な金銭的被害を拡大させた。結果的に同社の損害額は70億以上に上り、杜撰な管理体制が明らかになったことで、目に見えない損害も大きい。3月末から6月までに、証券会社が設置した緊急電話窓口で苦情処理にあたった従業員は約2,000人。苦情は16,000件にも及んだ。情報漏洩があった50,000人に対してわび状と10,000円の商品券を送付した。

Aが犯行に及んだ動機は、借金返済のためで、犯行当時500万円を超える借金があり、顧客情報を売って返済に充てようとした。金融庁は、この事件を受け、証券会社の内部管理体制が杜撰であるとして、業務改善命令を発動した。

2021年5月、生命保険会社社員のAは、海外完全子会社から約168億円を不正に引き出し暗号資産(ビットコイン)に交換して隠した。稀に見る規模の巨額横領詐欺事件である。Aは業務上の職務を利用し、正規の業務を装って、生命保険会社の海外子会社から別の銀行口座に168億円相当の送金を指示、ビットコインに交換して保管していた。Aが保管していたビットコインはFBIが押収。2022年8月に生命保険会社の海外子会社に返還された。返還額は、ビットコインの値上がりやドル高の影響で詐取された168億円を53億も上回る221億円に上った。

Aの弁護人は、「Aはビットコインへの投資傾向を研究しており、ビットコインに投資して十分な利益が出たら全額を返金し、利益の一部をもらおうと考えていただけで、詐取するつもりではなかった。」などと主張し寛大な判決を求めたが、裁判長は「被害は巨額で、半年以上前から準備した計画的な犯行である」として懲役9年を言い渡した。判決理由として、「返金よりも刑事事件になることの回避を重視したことはあきらかで、子会社の清算業務を担当する立場を悪用した犯行」と指摘した。

被害金額168億円を53億も上回る221億円が返還された生命保険会社は、返還された資金の一部を犯罪防止や人道支援のために寄付したいと発表している。