ホーム What's new 【お詫び】旧健診事務委託先における情報漏洩の可能性のご報告(9月9日更新)

What's new

【お詫び】旧健診事務委託先における情報漏洩の可能性のご報告(9月9日更新)

履歴
2025年5月18日 一部追記、修整致しました。
2025年6月11日 一部追記致しました。お問い合わせ窓口情報を掲載しました。
2025年7月10日 日本健康文化振興会の公表を追加し、一部加筆しました。
2025年9月9日   日本健康文化振興会の公表「お詫びと報告7」を追加し、一部加筆しました。

この度、当組合が2022年度まで生活習慣病予防健診事務を委託していた一般財団法人 日本健康文化振興会より、当該職員によるノートパソコンの一時紛失により当組合加入者を含む約17万名124団体分の情報の漏洩の可能性、および回収したパソコンが故障していたため、今回の報告までに時間を要したとの報告がありました。皆様には大変なご迷惑、ご心配をおかけしますことを、心よりお詫び申し上げます。

【日本健康文化振興会からの発信】
当会のノートパソコン紛失に関するお詫びとご報告
当会のノートパソコン紛失に関するお詫びとご報告.2
当会のノートパソコン紛失に関するお詫びとご報告.3
当会のノートパソコン紛失に関するお詫びとご報告.4
当会のノートパソコン紛失に関するお詫びとご報告.5
当会のノートパソコン紛失に関するお詫びとご報告.6
当会のノートパソコン紛失に関するお詫びとご報告.7
◎概要
・2025年3月15日、日本健康文化振興会の当該職員が上記情報が格納されている可能性
 のある業務用ノートパソコンを自宅で一部の業務を行う目的で持ち出し紛失。
 3月17日に拾得物として警察に届けられていたものです。
(拾得物として警察に保管されていたことが判明したのは4月15日)
 なおデータが格納されていたSSDはBitlockerが適用されており、元の状態のままで
 装着されていることを確認しているとのことです。

◎当組合に関する内容として報告を受けた個人情報漏洩の可能性がある情報
 回収したパソコンが故障しており、直接内容、アクセス履歴を確認できないため、
 同会サーバー上に保存されていた当該パソコンの操作ログを解析して得た情報
 となります。
・2021、2022年度の「健診申込データ」(健診結果情報は含まれておりません)
 氏名、フリガナ、生年月日、性別、郵便番号、住所、電話番号、健康保険組合名称、
 保険証記号・番号、健診予約内容
 ※上記健診申込をされた方の内780名の方が今回の対象に該当しています。
 ※対象の方の内、現住所が明確な方へお詫び文書をお送りさせていただきます。

◎契約終了後に漏洩可能性事象が発生した要因について
・当該職員が同会にて実施している団体の健診申込データ等過去数年間分のデータを、
    以前より 同会のルールに反し、パソコンヘ保存していたことに起因しています。

◎日本健康文化振興会が委託した専門業者による漏洩検知調査および当該パソコンの
 復旧、調査結果について

 8月29日付
 当会のノートパソコン紛失に関するお詫びとご報告.7

 【情報漏洩の可能性に対する調査について】
・情報漏洩の痕跡は確認されていませんが、8月25日再調査を依頼、
 2025年10月より2026年9月まで月次単位で漏洩調査を実施し、弊会ホームページ
 に調査状況を公表するとのことです。

 【PCの修理・修復について】
・日本健康文化振興会がBitLockerの回復キーを適切に管理していなかったため、「BitLockerの
 回復キーが不明な条件下でWindowsイベントログの取得は技術的に不可能である」との回答
 を依頼した会社、またその後に依頼を打診した複数社も同様の見解でした。
 これを受け、今後の当該PCに対する調査が不可能であること、また、専門会社等への調査
 依頼を断念せざるを得ない状況であるとの結論となりました。

◎皆様へのお願い
・専門業者によるデータ漏洩検知調査では、現時点で第三者への漏洩やデータの不正利用等は
 確認されていないとのことですが、今後健保組合や委託先を語る不審な連絡には十分にご注意
 いただきますようお願い申し上げます。
 今後、本件に関する情報が入り次第、本掲載に追加させていただきます。

◎当組合の再発防止へ向けた取り組みについて
・本案件は日本健康文化振興会のセキュリティ意識が低い社員が引き起こしたヒューマンエラーが
 主因ですが、同時に同会がシステム監査スペックは満たしていたものの、BitLockerの回復キーを
 適切に管理していなかったことが情報漏洩を否定できない原因となっており、こちらもヒューマン
 エラーとなっています。
 当組合は情報管理におけるスペック的な要件を満たすのみでなく、このヒューマンエラーに着目し
 事務局の事務ルーティンおよび委託先監査へ活かして参ります。
・本案件後、主な業務委託先各社へヒューマンエラーを前提とした漏洩防止体制および漏洩検知について
 ヒアリングを行った後、実地監査表へヒューマンエラーを前提とする漏洩防止、検知に関する項目を
 追加し緊急実地監査を行いました。
 監査に際し、各委託先へ本案件および発生要因を説明し、一方的な監査ではなく委託先と意識共有を
 図りました。

この度は、多大なるご迷惑とご心配をおかけしますこと、重ねてお詫び申し上げます。

◎この件に関するお問い合わせ先
 誠に恐れ入りますが、迅速な情報集約のため本件に関するお問い合わせは下記統一窓口
 までお願い申し上げます。
 

 一般財団法人 日本健康文化振興会
 ・お問い合わせ専用電話番号:03-3316-1117 
  受付時間:9:30~17:00(土日・祝日を除きます)
 ・当組合専用お問い合わせフォーム
  https://www.healthnet.or.jp/meibo/117.html
    ・お問い合わせに関するFAQ
  https://www.healthnet.or.jp/file/JHCP.FAQ.pdf