島根県川本町は9月26日、同町指定管理施設かわもと音戯館への不正アクセスについて発表した。
これは指定管理者が運営する「かわもと音戯館」ホームページに外部から不正アセスがあり、サーバに保存された利用者の一部の個人情報が漏えいした可能性が判明したというもの。当該ホームページから別サイトに誘導される改ざんも判明している。
指定管理者のホームページでは9月20日午前8時頃に、管理画面に入れない状況を業務責任者が発見、同時に利用者から指定管理者に対し、ホー ムページから別サイトに誘導されるとの問い合わせがあり、その現象を確認している。
指定管理者からサーバ管理会社に状況を確認したところ、利用者の個人情報を閲覧できる管理者用パスワード設定に脆弱性があったことが原因で、9月19日からホームページへの不正アクセスが発生していたことが発覚している。
指定管理者では9月22日に、改ざんされた可能性があるファイルの削除作業を完了している。
指定管理者では9月24日午後1時頃に、個人情報保護委員会及び同町に対し状況を報告している。
漏えいした可能性があるのは、計83件の宿泊施設利用者の個人情報(氏名、住所、連絡先、メールアドレス)とプール利用者の個人情報(アカウント名、メールアドレス)。なお、1件は指定管理者となっている。
同町では指定管理者に対し、漏えいの可能性がある利用者への個別連絡を指示するとともに、個人情報の漏えい等の事案が発生した場合は、直ちに同町に報告するよう指導している。
指定管理者では再発防止策として下記を実施するとのこと。
1.ホームページ管理者用パスワードを定期的に変更し、加えて、利用者の個人情報を保存しないシステムに改変することでセキュリティ対策を強化。
2.不正アクセス事案発生時の対応策について再確認し、事案の発生時は町への報告を直ちに行うことを徹底。
