個人情報漏えいに関するお詫びとご報告
- チューリッヒ保険会社トップ
- 個人情報漏えいに関するお詫びとご報告
2023年1月に発生した個人情報漏えいにつきましては、お客さまをはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申しあげます。
当社ではこれまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、このような情報漏えいが発生したことを踏まえ、今後はさらなる厳格化を図り、再発防止に全力で取り組んでまいります。
2023年1月9日未明に、当社のお客さまの個人情報が海外のサイトに掲載されているとの情報を把握し、調査したところ掲載内容に当社のお客さまの個人情報が一部含まれていたことから、情報漏えいの事実が判明いたしました。これは当社の外部委託業者が、2022年の年末に新たに構築したサーバーを適切なセキュリティ対策を講じない状態で設置した結果、2023年1月6日から8日にかけて不正アクセス者が当該サーバーからデータを盗んだのち、1月8日から9日にかけていわゆるダークウェブサイトにデータを掲載したものです。
当社の「スーパー自動車保険」に過去ご加入いただいたお客さま、ならびに現在ご加入いただいているお客さまの個人識別情報の一部または全部に限られております。クレジットカード番号、銀行口座情報、お客さま専用ページ(My Zurich)のパスワードは含まれておりません。
@姓のみ(漢字、カタカナ) A性別 B生年月日 Cメールアドレス D証券番号 E顧客ID F車名、等級など自動車保険契約にかかる事項※
※ 事故の内容などのセンシティブ情報、自動車登録番号は含まれておりません。
当社の「スーパー自動車保険」、「ネット専用自動車保険」ならびに「スーパーバイク保険」の過去の契約を含むお客さまの事故受付情報。
@姓(漢字、カタカナ) A証券番号 B事故番号、事故日など事故情報の一部。この事故情報には自動車登録番号や、事故の内容などのセンシティブ情報は含まれておりません。
69万2,428人(うち841人は事故受付情報のお客さまとなります)
当社は、2023年1月9日に監督官庁へ報告するとともに、1月11日までに外部委託業者が利用しているサーバーからは、当社の顧客情報データが削除されていることを確認いたしました。対象のお客さまへは郵便で順次ご連絡をさせていただきました。
このたびの事態を厳粛に受け止め、当社では再発防止に向けて当社および委託先の個人情報管理体制について、第三者である専門家による調査・検証を実施いたしました。その結果判明した課題をまとめました。
今回の漏えい事故を踏まえ、以下6つの再発防止策を策定し、すでに対応を開始しております。
不審な電話・郵送物・電子メールが届くような事象が発生した場合は、応答や開封の際はご注意いただきますようお願いいたします。このたび漏えいした項目(生年月日、メールアドレスなど)をIDやパスワードにご使用されている場合、至急変更をお願いいたします。
自分や家族が個人情報漏えいの対象になっているかどうかはどのように分かりますか。
個人情報漏えい対象のお客さまへは、2023年1月26日より順次お詫びのご連絡を郵送でお送りさせていただきました。
自分自身で気をつけておくことはありますか。
このたび漏えいした項目に「住所」「電話番号」は含まれておりませんが、不審な電話や郵送物についてもご注意をお願いいたします。
不審な電子メールを受け取りました。どうしたらよいでしょうか。
不審な電子メールは開封せず、削除いただくようお願いいたします。万一、開封された場合は、リンクなどをクリックせずに削除ください。ご心配の場合は『フィッシング110番(https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber406.html)』などへのご相談をお勧めいたします。
私は個人情報漏えいの対象となりました。スパムメールが届くようになったのは、今回の件が原因でしょうか?
大変申し訳ございませんが、お客さまに届くメールがスパムメールかどうか、また今回の件と直接的な関係があるかは、当社では把握することができません。ご心配の場合は『フィッシング110番(https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber406.html)』などでご確認いただきますようお願い申しあげます。
現在、チューリッヒ保険会社で登録しているメールアドレスを変更するにはどうしたらよいでしょうか。
「スーパー自動車保険」「スーパーバイク保険」「ネット専用自動車保険」のいずれかにご加入のお客さまは、以下の【お客さま専用ページ】にログインしご変更いただけます。
「スーパー自動車保険」「スーパーバイク保険」のログイン
https://www.zurich.co.jp/myzurich/account.servlet
「ネット専用自動車保険」のログイン
https://net.zurich.jp/nwd/common/login.html
お電話にて変更をご希望のお客さまは以下の【お問合わせ先一覧】より、ご加入の商品の窓口をご確認のうえ、お問合わせをお願いいたします。
https://www.zurich.co.jp/utility/contact/
すでに契約が満了しているため、個人情報を消去してほしい。
お客さまの過去のご契約に関する情報は、法律が定める起算日から7年間は当社にて保有する義務がございます。保管期間経過後、当社の基幹システムよりお客さまの情報の消去を希望される場合には、当社にてお客さまの過去のご契約の満期日やご契約状況などを確認のうえ、消去の可否についてご案内させていただきます。(ご契約の状況などにより、保管期間経過後の消去ができかねる場合もございますのでご了承ください)
このままチューリッヒ保険会社と契約を続けていても大丈夫でしょうか。
ご心配をおかけし大変申し訳ございません。当社ではこれまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、このような情報漏えいが発生したことを踏まえ、今後はさらなる厳格化を図り、再発防止に全力で取り組んでまいります。
チューリッヒ保険会社のサーバーの安全性に問題はありませんか。
当社のデータセンターでは強固なサイバーセキュリティ対策を講じております。グループセキュリティの専門チームが24時間365日監視を行い、怪しい動きを検知した場合は、即座に対応する体制をとっております。 また、社員はVDIという仮想デスクトップ環境を使い、強固な情報セキュリティ対策を講じているデータセンター内のサーバーに保存したデータにアクセスをして全ての業務を行っております。従いまして、使用しているPCの中には一切データは保存されないものとなっております。なお、社員はオフィス勤務、在宅勤務の区別なく同一の環境を使用しており、例えば在宅勤務時の社員のPCが外部からサイバー攻撃を受けても当社の情報が漏洩するリスクはございません。
個人情報の悪用など二次被害の対策は講じていますか。
当社としましては、関連する監督官庁や警察と連携し、社外専門家のアドバイスを得ながら二次被害防止のためのあらゆる対応を行ってきております。万が一、お客さまから具体的なお申し出があった場合には、個別に検討のうえ、できる限りの対応をさせていただきます。
海外のサイトに掲載された個人情報は現在どうなっているのですか。
当社のお客さま情報が公開された海外のサイト、いわゆるダークウェブサイトに関しては、2023年4月5日時点ですでに閉鎖されていることを確認しており、このサイトからのダウンロードはできなくなっております。
この外部委託業者に関する調査状況を教えてください。
外部委託業者は、社外の専門家に調査・分析を依頼し、個人情報漏えいに関する原因の特定を行ってまいりました。当社から外部委託業者に対しては、社内の管理体制に不備はなかったか、また未然に防ぐことができなかったかなど、主にガバナンスに関しての調査を依頼しておりました。当社は2023年1月31日にその分析レポートを受け取り、このレポートの受領をもって調査を完了しております。
この外部委託業者の個人情報管理体制について、調査結果を教えてください。
サーバー構築時に本来実施されなければいけなかったセキュリティ措置がなされていなかったことや、不正アクセスを直ちに検知することができなかった点など、管理・監視体制について十分な対策が取られていなかったことが判明しました。
全容解明までに時間を要したのはなぜですか。
今回の情報漏えいは当社の外部委託先にて発生したことを受け、同社が事故発生原因や今後の対応などに関して客観的な事実把握と原因究明を実施するために、外部の専門家による調査が実施されました。調査結果については、遅滞なく当社へ提出され、その結果を当社内で精査し同社の管理体制に関して追加確認を実施しておりました。このような経緯から全容解明までにお時間をいただく結果となりました。
この外部委託業者へ今後も業務を委託することはありますか。
2023年1月9日の発覚直後から、当該外部委託業者への個人情報の提供および、業務の委託は行っておりません。今後につきましては、他の委託先への切り替えも含め、同様のサービスを安全にご提供できる体制を整えてまいります。
この外部委託業者に個人情報を提供した理由を教えてください。
「当社の業務運営に必要な範囲」、あるいは「個人情報保護方針に記載の個人情報の利用目的に記載の範囲」で、外部委託業者にお客さまの個人情報を提供することがございます。この外部委託業者には、契約更新のお手続きを解説する動画や、事故が発生した場合の保険金支払までに必要な手続きをご案内する動画の配信を委託しておりました。
この外部委託業者の具体的な再発防止策を教えてください。
この外部委託業者における再発防止策については、サーバー構築時などの変更管理の強化や個人情報の保持に関する規定の見直しと強化、システム環境の監視体制の強化など、短期的・長期的な施策を実施すること。また、同社における個人情報の保持に関する規定の改定や90日でデータを完全消去する体制を3ヵ月以内に確立するなどの具体的な改善策が進められていると報告を受けています。
2023年1月9日 |
・当社のお客さまの個人情報が海外のサイトに掲載されているとの情報を把握 ・監督官庁へ報告 |
---|---|
2023年1月10日 |
・ニュースリリース「個人情報漏えいに関するお詫びとお知らせ」を配信 ・一般のお客さま向けの専用フリーダイヤルを設置 |
2023年1月11日 |
・外部委託業者が利用しているサーバーからは、当社の顧客情報データが削除されていることを確認 |
2023年1月17日 |
・お知らせ「個人情報漏えいに関する追加のお知らせ」を公開 |
2023年1月26日 |
・個人情報漏えい対象のお客さまへ順次お詫びのご連絡を郵送で開始 |
2023年1月27日 |
・個人情報漏えい対象のお客さま専用フリーダイヤルを設置 ・個人情報漏えいに関する特設ウェブページ(本ページ)を開設 |
2023年2月7日 |
・社内に「内部統制自主点検タスクフォース」を設置 |
2023年5月26日 |
・個人情報保護の監視・管理を行う「個人情報保護管理委員会」の設置 |
掲載日 2023年1月27日
更新日 2023年2月15日
2023年2月27日
2023年7月3日