KUMON、新たに計75万人以上の個人情報漏えいが判明、6月に発表した委託先のランサムウェア被害で続報

　株式会社公文教育研究会は8月20日、業務委託先へのランサムウェアによる個人情報の漏えいの続報を発表した。

　同社の業務委託先である株式会社イセトーが5月にランサムウェアによるサイバー攻撃を受けたもので、6月28日に発覚し、翌日に発表されていた。7月5日には、公文独自で調査し、漏えいしたデータに情報が含まれていた4678人を特定した。

　その後も同社において調査を継続しており、このたび完了。新たな個人情報の漏えいが判明したという。なお、イセトーからは8月1日に最終報告を受けたとしている。

　新たに漏えいが判明した個人情報は、会員の情報が4種で合計73万9714人分（各種類において重複した対象者を除いた人数）。指導者の情報が1万7481人分。会員情報の具体的な種類は以下。

• 2023年2月時点において算数・数学、英語、国語を学習した会員（2月休会者含む。2023年1月末までの退会者は含まれない）：72万4998人
  対象の情報：氏名、会員番号、学習教材、教室名、学年、入会年月、在籍月数
• 2023年2月時点における公文認定テスト（内部テスト）の受験資格を満たした一部の会員：7万1446人
  対象の情報：氏名、会員番号、学習教材、教室名、学年、受験可能な公文認定テストの種類、過去に合格した公文認定テストのうち最高位のテストの種類
• 2023年度第2回（8月）公文認定テストを受験した一部の会員：2人
  対象の情報：氏名、会員番号、教室名、受験した公文認定テスト名・スコア・合格情報
• 2023年2月におけるBaby Kumon会員（2月未実施の会員含む、2023年1月末までの退会者は含まれない）：9922人
  対象の情報：氏名、生年月日、年齢、入会年月、教室名、保護者氏名

　公文式指導者の漏えいした情報の種類は、氏名、教室名、住所、教室電話番号、請求内容、銀行口座情報。なお、銀行口座情報については、1人を除き、銀行口座番号の下3桁はマスキングされている（例：1234***）という。

　今回発表された個人情報漏えいの対象者に対しては、9月中旬に個別に郵送にて報告する予定としている。なお、Baby Kumonの会員情報については、入会時に公文では住所・電話番号の情報を取得しておらず連絡できないため、対象者であるか確認したい人には、専用フォームから問い合わせるようにと案内している。

　公文では、再発防止策として、業務委託先への監督強化および取引の見直しと、同社内におけるルールの厳格化や社員教育の徹底を挙げている。