日本製鉄健康保険組合、委託先のノートPC紛失で個人情報漏洩の可能性 2021~2022年度の健診申込者が対象

セキュリティニュース

投稿日時: 更新日時:

日本製鉄健康保険組合、委託先のノートPC紛失で個人情報漏洩の可能性 2021~2022年度の健診申込者が対象

日本製鉄健康保険組合は2025年4月28日、健診業務を委託している日本健康文化振興会において、過去に健診を申し込んだ加入者の個人情報が漏洩した可能性があることを公表しました。原因は、同会職員による業務用ノートPCの紛失で、該当のPCには最大で約2年分の健診申込者情報が保存されていたとみられています。

紛失から回収までの経緯

問題のノートPCは、2025年3月14日または15日に通勤途中で紛失され、3月17日に警察へ届け出が行われました。PCはその後、警察で保管されていたものの、4月15日時点でも故障のため起動できず、情報へのアクセス履歴などの確認ができない状態が続いています。

当初、委託先からは「当該PCに該当情報は含まれていない」との報告がなされていましたが、後日の調査で該当情報が保存されていた可能性が判明し、今回の発表に至りました。

漏洩の可能性がある情報項目

該当する個人情報の内容は以下の通りです:

  • 氏名、フリガナ、生年月日、性別

  • 住所、電話番号、メールアドレス(登録者のみ)

  • 健康保険証記号・番号、健診予約内容

  • 健康保険組合名、事業所名

対象となるのは、2021年度および2022年度に同会を通じて健診を申し込んだ方です。

利用者への注意喚起と今後の対応

現時点では、不正利用や情報流出の事実は確認されていないとしていますが、健康保険組合では「不審な連絡やフィッシングメールへの警戒」を呼びかけています。

特に以下の点にご注意ください:

  • 日本健康文化振興会を名乗る不審な電話やメールに注意

  • 身に覚えのないメールの開封やリンク・添付ファイルのクリックを避ける

  • メールアドレスを使ったなりすましや迷惑メールへの警戒

健康保険組合では、今後も調査を継続し、新たな事実が判明した場合は速やかに報告するとのことです。

今回のような、業務用ノートPCの紛失に伴う情報漏洩リスクを未然に防ぐためには、以下のような対策が企業・団体にとって不可欠です。

内部要因による情報漏洩のセキュリティ対策

端末管理の徹底

  • 資産管理の厳格化:端末の貸与・返却履歴を正確に記録し、未返却端末の把握を常時可能にする

  • 紛失時の対応フロー整備:即座に遠隔ロック・データ消去を行えるような体制を整備

  • 持ち出し制限:業務上やむを得ない場合を除き、個人情報を含むデータの外部持ち出しは原則禁止

データの暗号化

  • 端末の全体暗号化(Full Disk Encryption):BitLocker(Windows)やFileVault(Mac)などでストレージ全体を暗号化

  • 個別ファイルやフォルダの暗号化:個人情報や機密データには追加の暗号化を実施

  • 暗号化鍵の適正管理:鍵管理システム(KMS)を使い、第三者が復号できない状態を維持

ログとアクセス制御

  • 操作ログの取得と監視:いつ・誰が・どのデータにアクセスしたかを記録・定期点検

  • 多要素認証(MFA)の導入:端末やクラウドにアクセスする際の本人確認を強化

  • アクセス制限の最小化原則:業務に必要な最小限のデータだけにアクセスを許可

従業員および委託先への教育と契約管理

  • セキュリティ教育の義務化:PC持ち出しやクラウド利用などのリスクに対する理解を周知

  • 業務委託契約における情報管理条項の強化:委託先が講じるべき対策や責任範囲を明記

  • 定期的なセキュリティ監査の実施:委託先の情報管理体制が形骸化していないか確認

一部参照

https://www.kenpo.gr.jp/nskenpo/contents/topics/2025/0425.html