【重要】セキュリティインシデントに関するご報告
[2019/4/23 追記]
過去の一定時期の禁煙プログラムにおいて、これまでのリリースにて公表させて頂いておりました流出可能性のあるデータ項目以外の情報の取得があったことが、クービック社との継続調査により今回検知されました。
検知に時間を要した事由ですが、今回の対象となった情報は過去の一定時期の参加者様に限られる内容でありましたため、両社にて時系列を踏まえながら慎重に影響範囲特定のための継続調査に臨んでいたことが、その事由となります。なお、当該情報の取得があった方は160 名です。
今回の追加報告をリリース公表させて頂くほか、弊社及びクービック社としましては、検知が遅れてしまった経緯含め、今回判明した情報の対象となる参加者様・導入法人様に個別にご報告をさせて頂くことで、真摯に対応させて頂く所存であります。
改めまして、ascureをご利用のお客様に多大なるご迷惑とご心配をおかけ致しますことを深くお詫び申し上げます。
[2019/4/4 追記]
従前からご報告している個人情報の漏えいにつきまして、クービック社から、2019年4月3日に新しい発表がなされましたので、弊社も合わせてご報告させていただきます。
クービック社において流出したデータの特定調査を継続して行ったところ、弊社サービスであるascureに関しても、前回ご報告した個人情報の他に流出した可能性のある情報が確認されました。弊社において、当該流出した可能性のある情報の内容について確認したところ、いずれも当該情報のみでは、特定の個人を識別できる情報ではありませんでした。
また、当該情報に他の情報を紐づけることによって当該情報が個人情報に当たり得る可能性は否定できませんが、当該情報とすでに流出している個人情報は別に管理がなされており、これらを紐づけることによって個人情報となる可能性は低いと考えられます。上記紐づけがなされることによって更なる個人情報が流出することとなる等の二次被害の拡大防止の観点から、流出した可能性のある情報の項目や種別の公表は差し控えさせていただきます。
従前からご報告している個人情報の漏えいにつきまして、クービック社から、2019年4月3日に新しい発表がなされましたので、弊社も合わせてご報告させていただきます。
クービック社において流出したデータの特定調査を継続して行ったところ、弊社サービスであるascureに関しても、前回ご報告した個人情報の他に流出した可能性のある情報が確認されました。弊社において、当該流出した可能性のある情報の内容について確認したところ、いずれも当該情報のみでは、特定の個人を識別できる情報ではありませんでした。
また、当該情報に他の情報を紐づけることによって当該情報が個人情報に当たり得る可能性は否定できませんが、当該情報とすでに流出している個人情報は別に管理がなされており、これらを紐づけることによって個人情報となる可能性は低いと考えられます。上記紐づけがなされることによって更なる個人情報が流出することとなる等の二次被害の拡大防止の観点から、流出した可能性のある情報の項目や種別の公表は差し控えさせていただきます。
今後、新しい情報が確認されることがありましたら、改めてご報告申し上げます。 改めまして、ascureをご利用のお客様に多大なるご迷惑とご心配をおかけ致しますことを深くお詫び申し上げます。
==================
この度、弊社の法人向け「ascureモバイルヘルスプログラム(以下、「ascure」といいます。)」における予約機能の委託先であるクービック株式会社(以下、「クービック社」といいます。)より、クービック社の運営する予約システム「Coubic」が不正アクセスを受け、Coubic上に保管されているascureに関する個人情報が流失した可能性があるという連絡を受けました。
ascureをご利用の皆様におかれましては、多大なるご迷惑をおかけしましたこと、深くお詫び申し上げます。
本件について、弊社が把握している状況を以下のとおりご報告させていただきます。
【1】事実関係と発生原因
本件について、弊社が把握している状況を以下のとおりご報告させていただきます。
【1】事実関係と発生原因
2019年3月19日にクービック社より、予約システムCoubicに対する第三者による不正アクセスが確認され情報が漏えいした可能性がある旨の報告を受けました(以下「本件インシデント」といいます。)。
本件インシデントに関する事実関係と発生原因に関しましては、下記URLよりクービック社の公式発表をご覧いただけますようお願いいたします。
【2】ascureに関して漏えいした可能性のある情報
上記不正アクセスにより、弊社サービスであるascureに関して以下の情報が漏えいした可能性があるとの報告をクービック社より受けております。
・ascure の面談予約を行ったお客様(Coubicの会員登録をされた方)の氏名、メールアドレス、ハッシュ化されたCoubicのパスワード
・ascure の面談予約を行ったお客様(Coubicの会員登録をされていない方)の氏名、メールアドレス
なお、上記クービック社の公式発表では「クレジットカード情報の一部」も漏えいした可能性のある情報に含まれていますが、ascureではCoubic上でクレジットカード情報の入力を行うことがないため、漏えいの可能性はございません。
なお、上記クービック社の公式発表では「クレジットカード情報の一部」も漏えいした可能性のある情報に含まれていますが、ascureではCoubic上でクレジットカード情報の入力を行うことがないため、漏えいの可能性はございません。
【3】問題発生後の対応
インシデント発生直後の対応について
クービック社からの連絡を受け、速やかに弊社のCoubicアカウントのパスワードを変更し、弊社ascure参加者様それぞれにも、ご自身のパスワード変更を依頼致しました。また、弊社の契約先の法人様、および個人情報保護に関する関係機関への報告を行いました。
その後の詳細調査について
その後の詳細調査について
問題発生後、さらに以下の調査・確認を行いました。
・クービック社に対するさらなる原因調査と再発防止策提示の要求
クービック社に対し本件インシデントの原因調査と再発防止策の提示を要求致しました。その結果、クービック社より、現時点では本件インシデントによる情報漏えい経路は遮断され、技術的に十分な再発防止策が講じられたため、ascureのお客様情報が漏えいするリスクは排除された旨の文書による確認を受けております。
・お客様情報の漏えい範囲の特定
クービック社に対し、本件インシデントによるお客様情報の漏えい範囲の特定を要求致しました。その結果、上記【2】に記載した情報の漏えい可能性が確認されました。今後、新しい情報が確認されることがありましたら、改めてご報告申し上げます。
【4】今後の対策
弊社として、本件インシデントの発生を真摯に受けとめ、弊社自身の情報セキュリティ体制を万全に確保するとともに、個人情報の委託先の選定及び監督を強化してまいります。
改めまして、ascureをご利用のお客様に多大なるご迷惑とご心配をおかけ致しますことを深くお詫び申し上げます。
ご質問などありましたら、セキュリティマネジメントチームまでご連絡いただけますようよろしくお願い申し上げます。
何卒、宜しくお願い申し上げます。
株式会社キュア・アップ
セキュリティマネジメントチーム
e-mail: privacy@cureapp.jp TEL: 03-6231-0183
