「Peatix」への不正アクセスに伴う茨城県が主催したイベント参加者の個人情報流出について

イベントの管理,参加者募集・チケット販売を行うウェブサービス「Peatix」が第三者による不正アクセスを受け,最大で677万件の利用者の個人情報が引き出された事案に関し,本県が主催したイベントで「Peatix」を利用して参加者の募集やチケットの販売を行ったものは24事業,申込者数延べ2,442人であることを確認しました。

Peatix社（本社：米国）は,不正引き出しの対象となったすべての利用者に対してお知らせの電子メールを送信していますが,これらのイベントを主催した本県としても必要な対応を取っているところです。

関係するイベントにご参加いただきました方々には大変ご心配,ご迷惑をおかけしておりますことを深くお詫び申し上げます。

なお,不審なメールを受信したり,心当たりのないメールがお知り合いに送信されていた場合や,何らかの被害にあわれたりした場合に,この度の情報流出によるものと考えられる場合には,お手数をおかけいたしますが,茨城県情報システム課までご連絡くださいますようお願い申し上げます。

1.個人情報流出の経緯※Peatix社発表資料による

11月9日にPeatix社が保有する利用者の個人情報が引き出されている可能性があることを認識し,調査を行った結果,10月16日から10月17日にかけて発生した不正アクセスにより,個人情報を含む利用者の情報（氏名,メールアドレス,暗号化されたパスワード等）が最大677万件引き出された事実が判明した。
その他詳細について調査中。

2.不正に引き出された利用者情報※Peatix社発表資料による

・10月17日以前に「Peatix」に登録したすべての利用者の情報が不正に引き出されたことを確認した。

・クレジットカード情報,金融機関口座情報等の決済関連情報,イベント参加履歴,参加者向けのアンケートフォーム機能で取得したデータ,住所,電話番号等の情報が引き出された事実は確認されていない。

・「Peatix」の会員登録の際に,ソーシャルメディア（※）との連携により登録した利用者に関しては,「Peatix」は暗号化されたパスワードは保持していない。
　そのため,これらの利用者に関しては,不正引き出しの対象となっていない。
※　Facebook,Twitter,Google,Apple

3.本県が主催したイベントで「Peatix」を利用したもの

24事業,申込者数延べ2,442人（11月30日15時時点）

Peatixを利用した本県主催のイベント一覧（11月30日15時時点）（PDF：117KB）

4.Peatix社のこれまでの対応※Peatix社発表資料による

・Peatix社のホームページにおいて,11月17日から順次,次の告知,情報提供を行っている。
　：Peatixへの不正アクセス事象に関するお詫びとお知らせ
　：Peatixへの不正アクセス事象に関する「よくいただくご質問とその回答」

・不正引き出しの対象となったすべての利用者に対してお知らせの電子メールを送信した。

・今回の不正アクセスの経路の遮断,セキュリティの強化,すべてのアカウントのパスワードの再設定が必須
となる措置

・本件に関する利用者の問い合わせ専用のカスタマーサポートセンターの開設

5.本県のこれまでの対応

・本県のウェブサイトにおいて,本事案の概要説明とパスワード再設定のお願い（「Peatix」と同じものを他のサービスで利用している場合）を掲載した。（11月19日）

・県内全市町村に対して本事案について情報提供を行った。（11月19日）

・「Peatix」を利用した事業について,過年度分も含めて全庁を対象に調査を行った。（11月19日～24日）

・該当事業の参加者に対して,本事案の状況説明とパスワード再設定（「Peatix」と同じものを他のサービスで利用している場合）のお願いを連絡している。
・Peatix社に対して,早期の全容解明・報告と,利用者への誠実な対応を行うよう申し入れる。

報道発表資料（R2.11.25）（PDF：202KB）

報道発表資料（R2.11.27）（PDF：180KB）

報道発表資料（R2.11.30）（PDF：179KB）