プレスリリース：「総合健診Ｗｅｂ予約システム」への不正アクセスに関するご報告

概要

　西条市（市長：玉井敏久）が(株)両備システムズ（岡山市。以下「受託事業者」）に運営・管理を委託している「総合健診Ｗｅｂ予約システム（以下「本システム」）が第三者からの不正アクセスを受け、利用者の個人情報が漏洩した可能性があることが判明しました。市民の皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

不正アクセスの状況　

1. 不正アクセスを受けた日　　令和3年1月9日（土曜日）及び12日（火曜日）　
2. 漏洩した可能性のある情報　
   「総合健診Ｗｅｂ予約システム登録者（延べ3,125人）」のうち、最大1,000人分の利用者データ
   【データ内容】氏名、性別、生年月日、電話番号、メールアドレス、健診日、健診会場、希望の健診項目

経緯

• 令和2年12月29日　
  受託事業者が、本システムに係るセキュリティ上の問題に関する注意喚起情報及び2つの対策について関連事業者から提案を受けて同事業者と協議・検討した結果、設定変更は必要ないと判断
• 令和3年1月20日
  内閣サイバーセキュリティセンター（以下「NISC」）から総務省経由で市に対し、「本システムについて、意図しない情報が外部から参照される可能性がある旨」の注意喚起を受けたため、市から受託事業者に対して調査開始を指示（市はこの時点で認知）
• 1月22日
  受託事業者から市に対し「問題なし」との回答あり
• 1月23日
  市から総務省へ「問題なし」と報告
• 1月27日
  再度、NISCから総務省経由で市に対し、「申請者の一部情報が参照できる可能性がある製品について、各種設定の確認・見直しを行うなど、適切なセキュリティ対策を講じるよう」との連絡があり、受託事業者に再確認と対処を指示
• 1月29日
  受託事業者において指示内容を検討した結果、本システム設定の一部を変更する対策を実施
• 2月1日
  受託事業者が不正アクセスに対するすべての設定変更を実施
• 2月5日
  受託事業者の調査（ログの解析）により、不正アクセスの事実（1月9日及び12日にアクセス）が判明
  本システムを閉鎖し、利用者全員に注意喚起のメールを配信

これまでの対応状況

1. 利用者へ不正アクセスや情報漏洩の可能性をメールにてお知らせし、お詫びと二次被害を防止するための注意喚起を行いました。
2. 2月5日（金曜日）に本システムを停止するとともに、愛媛県警へ相談いたしました。
3. 本日までに市に対して二次被害情報に関する通報はありませんが、2月5日（金曜日）から健康医療推進課に窓口を設置し、相談体制を構築いたしております。

今後の対応

　受託事業者において調査した結果、現時点で個人情報が流出した事実は確認されていませんが、更に調査を進め、新たな情報が判明しましたら追ってお知らせいたします。

お問合せ先

西条市こども健康部健康医療推進課

担当者：課長　越智伸一郎　TEL：0897-56-5151（内線2201）　直通：0897-52-1215