損害保険ジャパン(東京都新宿区)は6月11日、最大で1748万件の顧客・代理店関連情報が漏えいした可能性があると発表した。4月25日に不正アクセスの発生を公表しており、今回はその続報となる。調査の結果、4月17日から21日にかけて、氏名や連絡先、証券番号などが外部から閲覧可能な状態にあり、一部には保険料支払口座情報も含まれていたという。
漏えいの可能性があるデータは以下の通りで、同社は「データが重複している可能性もある」としている。
・顧客の「氏名」「連絡先」「証券番号」を含むデータ:約337万件
・顧客の「氏名」「証券番号」を含むデータ:約187万件
・顧客の「連絡先」「証券番号」を含むデータ:約119万件
・その他顧客関連のデータ(氏名のみ、住所のみなど):約83万件
・代理店関連のデータ(保険募集人氏名、募集人ID、生年月日):約178万件
・識別子のみのデータ(証券番号や事故番号など):約844万件
同社によると、顧客データには保険料支払口座情報1638件も含まれる。また、識別子のみのデータについては、社内のデータベースと照合しなければ個人を特定することはできないという。なお、マイナンバーカード情報やクレジットカード情報は含まれておらず、現時点で情報が不正に利用された事実も確認されていないとしている。
不正アクセスを受けたのは、各種指標管理を主用途とする社内のWebサブシステム。21日に異常を検知し、外部からのアクセスを遮断。25日に第1報を公表していた。
その後、専門業者によるフォレンジック調査を進めた結果、17日から21日にかけて、外部から侵入した第三者が顧客情報へアクセスできる状態だったことが確認された。該当のシステムは他の社内システムとは分離しており、他システムへの影響はないという。
同社は、他のシステムにも同様の脆弱性がないことを確認した上で、不正アクセスの監視体制を強化。対象となる顧客には順次個別に連絡を行うほか、連絡が困難な場合は今回の発表をもって通知に代えるとしている。
コメント