個人情報漏えいに関するお詫びとご報告

2023年1月に発生した個人情報漏えいにつきましては、お客さまをはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申しあげます。

当社ではこれまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、このような情報漏えいが発生したことを踏まえ、今後はさらなる厳格化を図り、再発防止に全力で取り組んでまいります。

経緯

2023年1月9日未明に、当社のお客さまの個人情報が海外のサイトに掲載されているとの情報を把握し、調査したところ掲載内容に当社のお客さまの個人情報が一部含まれていたことから、情報漏えいの事実が判明いたしました。これは当社の外部委託業者が、2022年の年末に新たに構築したサーバーを適切なセキュリティ対策を講じない状態で設置した結果、2023年1月6日から8日にかけて不正アクセス者が当該サーバーからデータを盗んだのち、1月8日から9日にかけていわゆるダークウェブサイトにデータを掲載したものです。

対象となるお客さまと漏えいした可能性のある項目

当社の「スーパー自動車保険」に過去ご加入いただいたお客さま、ならびに現在ご加入いただいているお客さまの個人識別情報の一部または全部に限られております。クレジットカード番号、銀行口座情報、お客さま専用ページ(My Zurich)のパスワードは含まれておりません。
@姓のみ(漢字、カタカナ) A性別 B生年月日 Cメールアドレス D証券番号 E顧客ID F車名、等級など自動車保険契約にかかる事項※
※ 事故の内容などのセンシティブ情報、自動車登録番号は含まれておりません。

当社の「スーパー自動車保険」、「ネット専用自動車保険」ならびに「スーパーバイク保険」の過去の契約を含むお客さまの事故受付情報。
@姓(漢字、カタカナ) A証券番号 B事故番号、事故日など事故情報の一部。この事故情報には自動車登録番号や、事故の内容などのセンシティブ情報は含まれておりません。

対象となるお客さまの件数

69万2,428人(うち841人は事故受付情報のお客さまとなります)

当社の対応

当社は、2023年1月9日に監督官庁へ報告するとともに、1月11日までに外部委託業者が利用しているサーバーからは、当社の顧客情報データが削除されていることを確認いたしました。対象のお客さまへは郵便で順次ご連絡をさせていただきました。

このたびの事態を厳粛に受け止め、当社では再発防止に向けて当社および委託先の個人情報管理体制について、第三者である専門家による調査・検証を実施いたしました。その結果判明した課題をまとめました。

再発防止に向けた対策

今回の漏えい事故を踏まえ、以下6つの再発防止策を策定し、すでに対応を開始しております。

  1. 委託先における当社のお客さま情報の取扱いに関する契約条項の見直しと改訂
    • 委託契約書のひな型を改定し、個人情報の授受を伴う場合に委託先に求める要件を厳格に規定しました。
    • 加えて、ひな型を使用しない場合に必要な要件が契約書に盛り込まれているかを確認するためのチェックシートを作成しました。
  2. 委託先との個人情報の授受ルールの厳格化
    • 既に契約している委託先の個人情報管理態勢について調査を行い、問題/課題が見つかった委託先に対しては改善を要請しています。
    • 委託契約あたってのプロセスを見直し、提供する個人情報の範囲および保管期間が必要最小限であることを厳格に確認します。
  3. 委託先年次点検における確認手法・項目の見直しと強化
    • これまでも定期的に委託先における個人情報管理態勢をチェックしていましたが、今回の情報漏えい事故を受けて、チェック項目の見直しを行うと共に必要に応じ委託先へのヒアリングを行うなど、チェックの強化を行います。
    • また、社内における個人情報管理態勢に関してもチェックシートの改定およびコンプライアンス部によるレビューの強化などを行います。
  4. 社内における情報セキュリティに対する啓蒙活動の実施
    • 2023年1月の事故発生以降、さまざまな社内のコミュニケーションツールを活用し、個人情報保護を含む情報セキュリティに対する以下のような啓蒙活動を実施しました。今後は継続的に社員の意識向上に向けた取組みを行ってまいります。
      • 日本における代表者による全社員宛メッセージでの経緯報告
      • 日本における代表者による全社員向けの説明会を実施
      • 社員を対象に個人情報保護に関する意識調査を実施
  5. 委託先における個人情報漏えい事故への対応マニュアルの作成
    • これまでも委託先で個人情報漏えい事故が発生した場合の対応については取り決めがありましたが、今回の事故を受けてより実践的なマニュアルに改定しました。
  6. 組織を横断した個人情報保護の監視・管理を行う「個人情報保護管理委員会」の設置
    • 当社の個人情報管理態勢全般について確認・協議する組織体として、「個人情報保護管理委員会」を設立しました。当委員会はチーフ・リスク・オフィサーが議長となり、日本における代表者、オペレーション部門責任者、情報セキュリティ責任者、コンプライアンス部責任者などがメンバーとして、当社の個人情報管理態勢全般の有効性検証を行います。
    • また、同委員会の下部組織として、各部門のシニアマネージャーを中心としたワーキンググループを組成し、委員会の運営を実務的にサポートし、同委員会からの諮問事項などについて社内関連部門と連携しガバナンスの実効性を担保します。

お客さまへのお願い

不審な電話・郵送物・電子メールが届くような事象が発生した場合は、応答や開封の際はご注意いただきますようお願いいたします。このたび漏えいした項目(生年月日、メールアドレスなど)をIDやパスワードにご使用されている場合、至急変更をお願いいたします。

よくあるご質問

自分や家族が個人情報漏えいの対象になっているかどうかはどのように分かりますか。

個人情報漏えい対象のお客さまへは、2023年1月26日より順次お詫びのご連絡を郵送でお送りさせていただきました。

自分自身で気をつけておくことはありますか。

このたび漏えいした項目に「住所」「電話番号」は含まれておりませんが、不審な電話や郵送物についてもご注意をお願いいたします。

不審な電子メールを受け取りました。どうしたらよいでしょうか。

不審な電子メールは開封せず、削除いただくようお願いいたします。万一、開封された場合は、リンクなどをクリックせずに削除ください。ご心配の場合は『フィッシング110番(https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber406.html)』などへのご相談をお勧めいたします。

私は個人情報漏えいの対象となりました。スパムメールが届くようになったのは、今回の件が原因でしょうか?

大変申し訳ございませんが、お客さまに届くメールがスパムメールかどうか、また今回の件と直接的な関係があるかは、当社では把握することができません。ご心配の場合は『フィッシング110番(https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber406.html)』などでご確認いただきますようお願い申しあげます。

現在、チューリッヒ保険会社で登録しているメールアドレスを変更するにはどうしたらよいでしょうか。

「スーパー自動車保険」「スーパーバイク保険」「ネット専用自動車保険」のいずれかにご加入のお客さまは、以下の【お客さま専用ページ】にログインしご変更いただけます。

「スーパー自動車保険」「スーパーバイク保険」のログイン
https://www.zurich.co.jp/myzurich/account.servlet

「ネット専用自動車保険」のログイン
https://net.zurich.jp/nwd/common/login.html


お電話にて変更をご希望のお客さまは以下の【お問合わせ先一覧】より、ご加入の商品の窓口をご確認のうえ、お問合わせをお願いいたします。
https://www.zurich.co.jp/utility/contact/

すでに契約が満了しているため、個人情報を消去してほしい。

お客さまの過去のご契約に関する情報は、法律が定める起算日から7年間は当社にて保有する義務がございます。保管期間経過後、当社の基幹システムよりお客さまの情報の消去を希望される場合には、当社にてお客さまの過去のご契約の満期日やご契約状況などを確認のうえ、消去の可否についてご案内させていただきます。(ご契約の状況などにより、保管期間経過後の消去ができかねる場合もございますのでご了承ください)

このままチューリッヒ保険会社と契約を続けていても大丈夫でしょうか。

ご心配をおかけし大変申し訳ございません。当社ではこれまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、このような情報漏えいが発生したことを踏まえ、今後はさらなる厳格化を図り、再発防止に全力で取り組んでまいります。

チューリッヒ保険会社のサーバーの安全性に問題はありませんか。

当社のデータセンターでは強固なサイバーセキュリティ対策を講じております。グループセキュリティの専門チームが24時間365日監視を行い、怪しい動きを検知した場合は、即座に対応する体制をとっております。 また、社員はVDIという仮想デスクトップ環境を使い、強固な情報セキュリティ対策を講じているデータセンター内のサーバーに保存したデータにアクセスをして全ての業務を行っております。従いまして、使用しているPCの中には一切データは保存されないものとなっております。なお、社員はオフィス勤務、在宅勤務の区別なく同一の環境を使用しており、例えば在宅勤務時の社員のPCが外部からサイバー攻撃を受けても当社の情報が漏洩するリスクはございません。

個人情報の悪用など二次被害の対策は講じていますか。

当社としましては、関連する監督官庁や警察と連携し、社外専門家のアドバイスを得ながら二次被害防止のためのあらゆる対応を行ってきております。万が一、お客さまから具体的なお申し出があった場合には、個別に検討のうえ、できる限りの対応をさせていただきます。

海外のサイトに掲載された個人情報は現在どうなっているのですか。

当社のお客さま情報が公開された海外のサイト、いわゆるダークウェブサイトに関しては、2023年4月5日時点ですでに閉鎖されていることを確認しており、このサイトからのダウンロードはできなくなっております。

この外部委託業者に関する調査状況を教えてください。

外部委託業者は、社外の専門家に調査・分析を依頼し、個人情報漏えいに関する原因の特定を行ってまいりました。当社から外部委託業者に対しては、社内の管理体制に不備はなかったか、また未然に防ぐことができなかったかなど、主にガバナンスに関しての調査を依頼しておりました。当社は2023年1月31日にその分析レポートを受け取り、このレポートの受領をもって調査を完了しております。

この外部委託業者の個人情報管理体制について、調査結果を教えてください。

サーバー構築時に本来実施されなければいけなかったセキュリティ措置がなされていなかったことや、不正アクセスを直ちに検知することができなかった点など、管理・監視体制について十分な対策が取られていなかったことが判明しました。

全容解明までに時間を要したのはなぜですか。

今回の情報漏えいは当社の外部委託先にて発生したことを受け、同社が事故発生原因や今後の対応などに関して客観的な事実把握と原因究明を実施するために、外部の専門家による調査が実施されました。調査結果については、遅滞なく当社へ提出され、その結果を当社内で精査し同社の管理体制に関して追加確認を実施しておりました。このような経緯から全容解明までにお時間をいただく結果となりました。

この外部委託業者へ今後も業務を委託することはありますか。

2023年1月9日の発覚直後から、当該外部委託業者への個人情報の提供および、業務の委託は行っておりません。今後につきましては、他の委託先への切り替えも含め、同様のサービスを安全にご提供できる体制を整えてまいります。

この外部委託業者に個人情報を提供した理由を教えてください。

「当社の業務運営に必要な範囲」、あるいは「個人情報保護方針に記載の個人情報の利用目的に記載の範囲」で、外部委託業者にお客さまの個人情報を提供することがございます。この外部委託業者には、契約更新のお手続きを解説する動画や、事故が発生した場合の保険金支払までに必要な手続きをご案内する動画の配信を委託しておりました。

この外部委託業者の具体的な再発防止策を教えてください。

この外部委託業者における再発防止策については、サーバー構築時などの変更管理の強化や個人情報の保持に関する規定の見直しと強化、システム環境の監視体制の強化など、短期的・長期的な施策を実施すること。また、同社における個人情報の保持に関する規定の改定や90日でデータを完全消去する体制を3ヵ月以内に確立するなどの具体的な改善策が進められていると報告を受けています。

これまでの経緯

2023年1月9日

・当社のお客さまの個人情報が海外のサイトに掲載されているとの情報を把握

・監督官庁へ報告

2023年1月10日

・ニュースリリース「個人情報漏えいに関するお詫びとお知らせ」を配信

・一般のお客さま向けの専用フリーダイヤルを設置

2023年1月11日

・外部委託業者が利用しているサーバーからは、当社の顧客情報データが削除されていることを確認

2023年1月17日

・お知らせ「個人情報漏えいに関する追加のお知らせ」を公開

2023年1月26日

・個人情報漏えい対象のお客さまへ順次お詫びのご連絡を郵送で開始

2023年1月27日

・個人情報漏えい対象のお客さま専用フリーダイヤルを設置

・個人情報漏えいに関する特設ウェブページ(本ページ)を開設

2023年2月7日

・社内に「内部統制自主点検タスクフォース」を設置

2023年5月26日

・個人情報保護の監視・管理を行う「個人情報保護管理委員会」の設置

掲載日 2023年1月27日
更新日 2023年2月15日
          2023年2月27日
          2023年7月3日

TOPへ戻る