東京海上日動、代理店への情報漏えいで対象提携代理店の範囲が拡大
東京海上日動は、保険の募集・管理で利用するために保険代理店向けに提供しているシステム(以下「代理店システム」)において、適切な参照範囲の設定を行っていなかったことにより、同社の一部の代理店が本来はアクセスしてはならない他保険会社や同社のお客様情報にアクセスできる状態となっていたことについて、2023年10月30日に公表(※1)していたが、他の一部提携代理店においても同種の要因による情報漏えいが判明した。
(※1)2023年10月30日の公表内容については、本ニュースリリースの3ページ目以降に再掲載しており、一部追記している。
1.事案の背景
同社は、共同募集制度という、二つの代理店が提携して保険募集を行う仕組みを設けている。
一つの代理店を「統括代理店」、もう一方の代理店を「提携代理店」と称し、統括代理店が提携代理店の保険募集に関わる業務を支援することとしている。
統括代理店は、提携代理店の保険募集における見積書や申込書等の書類作成や契約処理に関わる業務の支援を担うことから、代理店システム上において統括代理店が提携代理店のIDを利用することが可能となっており、生命保険および損害保険のお客様情報を共有している。しかし、統括代理店が関与することのない、提携代理店が取り扱うお客様情報について、統括代理店がアクセスできないように代理店システム上で制限をかけることができていなかった。
2.事案の概要
今般の事案は、2023年10月30日に公表した事案と同様に、参照範囲が適切に制限されていなかったため、提携代理店のみがお取り扱いするお客様情報に、統括代理店がアクセスできる状態となっていたものである。2023年10月30日の公表以降も継続して調査した結果、以下の事象①については2023年11月6日、事象②については2023年11月14日に情報漏えいのおそれがあることが判明し、2023年11月29日までに対象となる代理店および保険会社の調査と参照範囲の是正対応を進めてきたものである。
<参照範囲が適切に制限されていなかったことにより発生した事象>
①統括代理店がお取り扱いしていない契約も含め、提携代理店がお取り扱いする他保険会社(※2)のお客様情報にアクセスできる状態となっていたもの。
(※2)保険会社共同ゲートウェイというデータ通信サービスを通じ、データ提供を行っている他保険会社の保険契約等の情報を代理店にて一元管理することが可能となっている(同社が他保険会社のお客様情報を見ることができるものではない)。
②自動車損害賠償責任保険(以下「自賠責」)を取り扱う専用システムのe-JIBAI(※3)において、統括代理店が取り扱いしていない自賠責契約も含め、提携代理店が過去に手続きした自賠責契約情報にアクセスできる状態となっていたもの。
(※3)e-JIBAIとは、自賠責証明書作成・保険料精算・データ伝送等を行う損害保険会社各社で共同開発したオンラインシステムのことで、e-JIBAIシステム内にて他保険会社にて契約した自賠責契約等の情報も含めて代理店にて一元管理することが可能となっている(同社が他保険会社のお客様情報を見ることができるものではない)。なお、e-JIBAIには代理店システム経由でのログインが可能となっている。
<アクセス可能となっていたお客様情報>
①名前、住所、電話・FAX番号、メールアドレス、生年月日、性別、契約内容、証券番号、保険種類、保険金を受け取られる方の名前、保険始期・満期、保険料、契約変更の有無、保険事故の有無など
②名前、住所、証明書番号、自動車登録番号、保険始期・満期、保険料など、自賠責に関わる契約情報
3.対象代理店
今般の事象における対象代理店は以下のとおりである。
①他保険会社のお客様情報提携代理店 33店
②e-JIBAI内のお客様情報提携代理店 83店
※①②は一部重複している提携代理店がある。
4.対応について
判明した参照制限の設定誤りについては是正対応を完了しており、現在は不適切なアクセスができない状態となっている。また、統括代理店へのヒアリング等により不適切なアクセスの有無等の確認を進めており、現時点で情報の不正使用は確認されていない。引き続き、残存するアクセス履歴の調査を継続し、統括代理店による情報への不適切なアクセスが確認されたお客様に対しては、順次個別に知らせていく。