社内サーバーが不正アクセスを受け、不正アクセスによる個⼈情報等流出の可能性

株式会社リニカルは運用するWebサーバーが第三者からのサイバー攻撃を受けたことにより、一部業務に支障が生じる可能性があると発表しました。
被害状況は調査中ですが、株式会社リニカルではID・パスワード管理の手順化と周知徹底に加え多重認証システムを導入しており、不正アクセス防止・検知を行うセキュリティソフトウエアと、侵入後の検知・分析を行うサービスを導入し、VPN・ファイアウォールなどと合わせ、マルウエア感染や不正アクセスを未然に防止する仕組みを構築しており、またサイバーセキュリティ保険にも加入しているため、事後の状況把握や対応はスムーズに進むと考えられます。

情報流出
株主名簿上の個人株主情報(氏名・住所・株主番号・所有株数等):約60,000件
採用応募者情報(氏名・生年月日・電話番号・メールアドレス等のうち2点以上):約14,000件
ほか
要因
VPN装置の脆弱性に起因する不正アクセス

被害企業概要

所在地
大阪市淀川区宮原一丁目6番1号 新大阪ブリックビル10階
事業内容
モニタリング業務
品質管理(QC)業務
医薬品開発、臨床試験・研究の企画及び実施に関するコンサルティング 等
資本金
214,043,500円

実施しておきたい対策

保有する情報の内容・数量の定期的な確認
Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施
不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。
※なお、個人情報保護法(第19条)では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。
個人情報保護法<第19条>データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
引用:e-Gov法令検索

Case Study
その他のサイバー攻撃 被害事例