発送物の印刷や送付を委託していたイセトーがランサムウェア攻撃を受けた影響で、情報が漏えいした恐れがある件を巡り、公文教育研究会(公文)は8月20日、新たに個人情報など約75万人分の漏えいを確認したと発表した。
漏えいしたのは、(1)2023年2月までに公文で算数か数学、英語、国語を学習した会員の会員番号、利用した学習教材、教室名、学年、入会年月など72万4998人分、(2)同月までに公文内部の認定テストの受験資格を満たした会員の氏名、学年、過去に合格した認定テストのうち最もランクが高いものの情報など7万1446人分、(3)0~2歳向けサービス「Baby Kumon」に同月時点で加入していた会員の氏名、生年月日、年齢、保護者の氏名など9922人分、(4)23年8月の認定テストを受けた会員の会員番号や合格情報など2人分──という。
(1)~(4)は重複もあり、漏えいしたのは計73万9714人分。加えて、公文で指導をしていた人の氏名、教室名、住所、銀行口座番号1万7481人分も漏えいした。銀行口座情報は1人分を除いて下3桁がマスキングされた状態だったという。
公文は今後、9月中旬をめどに情報が漏えいした対象者に書面で連絡する。ただしBaby Kumonについては、入会時に住所や電話番号を取得しておらず、会員に連絡ができないため、代わりに対象者向けの問い合わせフォームを設置。問い合わせ内容を確認し、対象者であると確認が取れた場合、指定の住所に手紙を送るという。
公文は今後、委託先に対する審査基準、不正アクセス対策、契約条項の確認、監査や社員教育などを徹底・厳格化し、再発防止を目指す。
公文は6月に情報漏えいの可能性を、7月には会員向けサイト「iKUMONサイト」ユーザーの住所など4678人分が漏えいしたと発表。一方でその後も独自に調査を進めており、今回の発表に至ったという。
イセトーへのランサムウェア攻撃を巡っては、他にも京都商工会議所、クボタ子会社、和歌山市、徳島県などが同様の発表をしており、それぞれ数万件から数十万件の情報が漏えいした可能性があると明らかにしている。