業務委託先における不正アクセスによる情報漏えいの可能性について、お取引先の皆さまへのお知らせとお詫び

平素は格別のお引き立てを賜り厚く御礼申し上げます。
このたび、弊社が経理業務の一部を委託しているアクリーティブ株式会社（以下、「委託先」）において、不正アクセスによるシステム障害が発生し、弊社のお取引先様情報を含むデータが暗号化される事象が確認されました。
なお本件は、弊社のサーバーが直接攻撃を受けたものではなく、委託先における事故によるものです。
お取引先の皆さまおよび関係者の皆さまには、多大なるご心配とご迷惑をおかけしておりますことを、心よりお詫び申し上げます。

【調査状況および現時点の確認結果】
委託先において、外部専門機関によるフォレンジック調査を2025年8月25日から9月12日にかけて実施し、9月29日に委託先が専門機関より調査報告を受け、10月15日に弊社が委託先より正式報告を受けました。
調査の結果、現時点で個人情報や取引情報の外部流出は確認されておりません。
また、委託先でダークウェブの監視を行った結果、流出や不正利用の事実は確認されませんでした。

【対象となる可能性のあるお取引先様情報の情報】
対象情報：氏名（屋号）、お支払い口座を含むお取引に関する情報
件数：257件

【発生原因】
2025年8月24日に委託先で実施されたファイアウォールの入替作業において、システムベンダーによる事前設定ミスにより、ファイアウォールの一部機能が停止した状態のまま機器が設置されました。
この設定不備により外部からのサイバー攻撃を受け、サーバーへの不正アクセスが発生したものと考えられます。

【経緯】
2025年8月24日：委託先にてファイアウォール交換作業を実施。直後に外部からサイバー攻撃が発生。
2025年8月25日：委託先の一部サーバーのデータが暗号化され閲覧不能となる。攻撃を受けたサーバーを外部経路から遮断。
2025年8月25日～2025年9月12日：専門機関によるフォレンジック調査を実施。
2025年8月26日：ファイアウォールの再交換を実施。
2025年9月5日：ダークウェブ上での情報流出監視を開始。
2025年9月29日：委託先が専門機関から最終報告書を受領（流出痕跡なし）。
2025年10月15日：委託先より弊社へ報告。
2025年11月17日：委託先よりダークウェブ監視結果を受領（流出や不正利用の痕跡なし）

【弊社および委託先の対応および再発防止への取り組み】
弊社では本件を受け、委託先との間で情報管理体制およびセキュリティ対策の点検を実施いたしました。
今後、委託業務に関する情報セキュリティ管理をさらに強化し、再発防止に向けて以下の施策を進めてまいります。

＜弊社の対応＞
・委託先への情報管理・監査体制の厳格化
・委託契約時における情報保護体制の確認手順の見直し
・社内の情報セキュリティ教育およびモニタリングの強化

＜委託先の再発防止策＞
・システムベンダーに対し、セキュリティ体制の抜本的強化および再発防止策の策定を要請し、その内容を定期的に評価・確認する
・セキュリティリスクを伴う作業時には、委託先自身の確認に加え、第三者検証機関による作業確認を実施する

【法令対応および報告】
本件に関し、委託先および弊社より個人情報保護委員会へ報告が行われております。
弊社は、委託元として委託先からの報告内容を確認のうえ、関係当局からの要請等に応じて適切に対応してまいります。

このたびは、お取引先様および関係者の皆さまに多大なるご心配とご迷惑をおかけいたしましたこと、改めて深くお詫び申し上げます。
本件を厳粛に受け止め、委託先を含めた情報管理体制の見直しと、より一層のセキュリティ強化に努めてまいります。


【本件に関するお問い合わせ先】
アクリーティブ株式会社　個人情報担当窓口
電話番号　　　　　　　：　0120-463-871（受付時間：9:00～18:00（土日祝除く））
お問い合わせ番号　　　：  Ａ－００４