piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

アフラックとチューリッヒの情報流出についてまとめてみた

2023年1月10日、アフラック生命保険とチューリッヒ保険の2社は顧客情報の一部が流出したことが判明したとして謝罪しました。原因として2社が委託していた事業者が不正アクセスを受けた可能性があると報じられています。ここでは関連する情報をまとめます。

委託先事業者で不正アクセス被害か

  • 顧客情報の流出を公表したのはアフラック生命保険とチューリッヒ保険の2社で、いずれも海外の外部サイトに自社の顧客情報が掲載されているとの情報を把握し発覚したもの。*1
  • 情報流出の原因については詳細な流出の経緯・状況は調査中としているが、2社とも外部委託先の事業者のサーバーが不正アクセスを受けた可能性を説明している。また2社は同じ米国の事業者へ委託を行っていたことが報じられている。*2
  • アフラックは委託先の事業者に対してダイレクトメールに記載されたQRコードより視聴できる動画配の信業務を委託していた。
委託先事業者が不正アクセスを受け情報流出か

保険加入者情報の一部流出

アフラック生命保険、チューリッヒ保険2社の保険に加入している顧客情報の一部が流出した。

対象 件数 流出した情報 対象保険
アフラック生命保険 1,323,468人
(データ件数延べ 3,158,199 件)
①氏名:姓のみ(漢字及びカナ)
②年齢
③性別
④証券番号
⑤保険種類番号、保障額、保険料
「新がん保険」
「スーパーがん保険」
「スーパーがん保険 V タイプ」
チューリッヒ保険 最大698,767人 ①氏名:姓のみ(漢字及びカタカナ)
②性別
③生年月日
④メールアドレス
⑤証券番号
⑥顧客ID
⑦車名、等級など自動車保険契約にかかる事項(事故内容等センシティブ情報含まず)
「スーパー自動車保険」
「ネット専用自動車保険」
「スーパーバイク保険」
(過去加入者も含む)
  • アフラックは流出した情報から個人を特定することは出来ないとして、第三者による悪用の可能性は極めて低いと説明。また公表時点での不正利用も確認していないとした。
  • チューリッヒはクレジットカード番号、銀行口座番号は含まれていないと説明。
  • 2社とも対象の顧客に対しては順次連絡を取ると案内していることに加え、委託先事業者へ提供していたデータの削除が行われたと説明。
対象者に500円のクオカード送付の模様
  • チューリッヒについて、流出可能性の対象となったとしてお詫びの文書が届いたとして報告されている記事によれば、500円のクオカードが同封されていた。

関連タイムライン

日時 出来事
2023年1月7日以降 2社の委託先事業者のサーバーに対して不正アクセスが行われた可能性。
2023年1月9日 外部サイトに2社から取得したと見られる情報を掲載。
同日 アフラック生命保険、チューリッヒ保険が顧客情報が外部サイトに掲載されている情報を把握。
2023年1月10日 アフラック生命保険、チューリッヒ保険が顧客情報の流出について公表。
2023年1月17日 チューリッヒ保険が流出対象の保険の種類、件数を修正。

公式発表

〇 アフラック生命保険株式会社

〇 チューリッヒ保険会社

HIBPにチューリッヒのリーク情報が追加


更新履歴

  • 2023年1月13日 AM 新規作成
  • 2023年1月17日 PM 続報反映(チューリッヒの第2報)
  • 2023年1月26日 PM HIBP追加されたことを追記
  • 2023年2月10日 PM チューリッヒのお詫び送付について追記