ハウステンボス　約155万人分の個人情報漏洩か　マイナンバーや健康診断結果も

見出し

1 リモートアクセス機器経由で侵入
2 顧客約150万人分の情報が対象
3 マイナンバーや健康情報も漏洩の可能性
4 システム影響は10月1日までに復旧
5 再発防止策を実施
6 ランサムウェア攻撃の可能性
7 テーマパーク業界でのサイバー攻撃

ハウステンボス(長崎県佐世保市)は12日、8月29日に発覚した不正アクセスについて、外部専門家による調査結果を公表した。約155万人分の個人情報が漏洩した可能性があることが判明したという。顧客約149万9300人分、役職員・家族約3万7300人分、取引先約9400人分が対象だ。マイナンバー情報や健康診断結果、障がいに関する情報も含まれる。現時点で被害の発生は確認されていない。

不正アクセス事案に関する調査結果のご報告とお詫び｜ハウステンボス株式会社より引用

リモートアクセス機器経由で侵入

ハウステンボスによると、8月29日に同社システムに対する不正アクセスが確認され、業務管理システムなどのサーバー内ファイルの一部が暗号化されていることが判明した。直ちに被害拡大防止のため、当該サーバーおよび関連システムを停止し、ネットワークの遮断などの緊急措置を講じた。同日中に個人情報保護委員会および警察へ報告し、外部専門家による調査および復旧対応を開始した。

外部専門家による調査の結果、同社が利用しているリモートアクセス機器を経由して第三者が不正にネットワークへ侵入したこと、複数のサーバーおよびパソコン端末で暗号化が行われていたことが判明した。同社が保有している個人情報の一部が外部に漏洩した可能性があるという。

顧客約150万人分の情報が対象

漏洩した可能性がある個人情報のうち、顧客に関する情報は約149万9300人分だ。氏名、生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

役職員(退職者を含む)および家族に関する情報は約3万7300人分で、氏名、生年月日、性別、住所、電話番号、メールアドレスに加え、マイナンバー情報、健康診断結果、障がいに関する情報なども含まれる。

取引先に関する情報は約9400人分で、氏名、社名、住所、電話番号、メールアドレス、マイナンバー情報などだ。

クレジットカード情報については、同社では保有していないため漏洩はないという。

マイナンバーや健康情報も漏洩の可能性

今回の事案で特に懸念されるのは、マイナンバー情報、健康診断結果、障がいに関する情報といった機微な個人情報が漏洩した可能性がある点だ。

マイナンバーは、社会保障・税・災害対策の分野で利用される個人番号で、漏洩すると成りすまし被害などのリスクがある。健康診断結果や障がいに関する情報は、個人情報保護法上の「要配慮個人情報」に該当し、特に慎重な取り扱いが求められる。

ハウステンボスは、対象となる方々へ順次個別に案内を送付しているという。連絡先不明などにより個別の通知が困難な場合は、公表をもって案内に代えるとした。心当たりのない電話やメールなどについては注意するよう呼びかけている。

システム影響は10月1日までに復旧

不正アクセスに伴い、一部システムに影響が生じた。ハウステンボス公式アプリのアトラクション待ち時間表示が休止し、一部発注システムに利用制限が発生したが、10月1日までに復旧したという。

ハウステンボスは8月31日時点で、一部レストラン店舗でのレシートの受け取りができない状況も報告していた。こうしたサービス面での影響も、その後復旧している。

再発防止策を実施

ハウステンボスは、今回の事案を受けて以下の再発防止策を実施および強化しているという。通信経路および用途別通信の再設計と厳格化、各種アカウントのセキュリティポリシーおよび認証方式の見直し、デバイス管理ポリシーの強化、セキュリティ監視体制の再構築、バックアップ体制および事業継続計画(BCP)の再整備、従業員への情報セキュリティ教育の強化だ。

特に侵入経路となったリモートアクセス機器については、通信経路の厳格化や認証方式の見直しが重要となる。多要素認証の導入や、アクセス可能なIPアドレスの制限など、複数の対策を組み合わせることが求められる。