株式会社エムケイシステム(大阪市北区)へのランサムウェア攻撃ですが、同社の発表は6月9日の「お詫びと状況のご報告」からアップデートされておらず、また日経新聞の報道によると同社はサイバー攻撃に関する問い合わせは受けないと話しているということなので、どのような状況にあるのか不明です。そんな中、システムを利用している社会保険労務士事務所などでは個人情報保護委員会への報告をめぐり情報が錯綜するなど混乱がみられます。
委員会への報告めぐり情報が錯そう
社会保険労務士事務所は主に中小企業から委託を受けて給与計算や社会保険手続き、委託元企業の従業員にかかるデータの管理などを行っており、その際に業務をクラウドで支援するシステムをエムケイシステムは提供しています。同様のサービスは他にもあるようですが、エムケイシステムの「社労夢」はもっとも普及しており、エムケイシステムによれば2754の社労士事務所で使われており、約57万事業所、約826万人を同システムで管理しているということです。つまり中小企業の従業員826万人の個人情報が社労夢のサーバーにあり、その中には特定個人情報となるマイナンバー(個人番号)も含まれているということですので、これらデータが漏えいした場合、大きな問題に発展する可能性があります。
改正された個人情報保護法では、不正の目的をもって行われたおそれがある個人データの漏えい等が発生したおそれのある事態に対しては、速やかに個人情報保護委員会に報告するとともに本人に対して通知をするように規定しています。そのためエムケイシステムでは個人情報の漏えいは確認していないとするものの、個人情報保護委員会に対してすでに報告をしていることを明らかにしています。一方、社会保険労務士事務所では利用しているシステムが動かなくなってしまったことで業務に支障が起き、その対応に追われるとともに、社労士側にも情報漏えいの報告義務があるのかどうかについて情報が錯そうして混乱が見られました。事態が発生した直後にエムケイシステムが、ユーザーである社労士に対して「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように、個人情報保護委員会へ働きかけを行っている」などとした通知を出したことも混乱に拍車をかけたようです。この通知については、エムケイシステムが6月12日の時点で「『報告が免除される可能性がある』との表現は完全に間違った認識だった」との文面を送付して、混乱の要因をつくったとして謝罪しています。
改正法にどう対応 ? ‥‥困惑広がる
「社労夢」のサーバーに収納されている個人情報は、企業が労務士に委託して「社労夢」のシステム上で使用しているものなので、個人情報保護委員会への報告義務や本人通知義務は、社労士や委託をした企業にも発生するということだということです。サイバー攻撃そのものは特定のシステム、サーバーに対して行われるわけですが、情報化した社会ではその影響がさまざまな組織や個人に及ぶことが現実に問題化している状況です。また努力目標であった個人情報保護委員会への報告が改正法により義務化されてまだ間もなく、新たな仕組みに対してどのような対応が必要になるのか、まだまだ社会的に浸透していない実態が伺えます。
エムケイシステムへのランサムウェア攻撃をめぐってはマイナンバーを含む個人情報の漏えいの有無や、復旧にどの程度の時間がかかるのかなど気になる点が多々ありますが、エムケイシステムのリリースはランサムウェア攻撃を受けてサーバーが暗号化されたことを伝えて以降、更新されないため詳細不明の状況です。システムが攻撃を受けて多くの人に影響が出る、本質的な問題はランサムウェア攻撃というサイバー犯罪にあるわけですが、そのような実態にどう立ち向かうべきなのでしょうか? 改めてサイバーセキュリティの重要性が実感されます。
■出典
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/?n_cid=SNSTW006&n_tw=1686644947
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-3