個人情報保護委員会が社労士支援システム、社労夢などを運用する株式会社エムケイシステム(大阪市北区)に対して個人情報保護法にもとづく指導等を行ったことを明らかにしました。同社は昨年6月にランサムウェア攻撃を受け個人情報保護委員会に報告、同委員会で調査が行われていました。
個人情報取扱事業者と認定
個人情報保護委員会のリリースによると、エムケイシステムは社労士事務所や企業等が社会保険や雇用保険の申請手続きや給与計算等を行うことができるサービスをクラウドで提供し、同社クラウドサービス上では大量の個人データが管理されていたということです。ちなみに個人情報保護委員会が昨年6月6日から現在までにエムケイシステム以外の社労士事務所等から受けた漏えい等の報告件数は報告者ベースで3067件(749万6080人分)にのぼるということです。
これら個人データの取り扱いについて個人情報保護委員会は、エムケイシステムが委託により個人情報を取り扱っていると判断、エムケイシステムはクラウドサービス提供事業者にとどまらず個人情報取扱事業者であると認定しました。
個人情報保護法では個人情報取扱事業者について「取り扱う個人データの漏えい、減失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」(第23条)と規定しており、さらにガイドラインにおいて「個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない」と定めています。
不正アクセス防止措置に問題があった
しかし、エムケイシステムは①ユーザーのパスワードルールが脆弱であった②管理者権限のパスワードも脆弱で類推が可能であった③ソフトウェアのセキュリティ更新が適切に行われておらず深刻な脆弱性があった④ログの保管、管理及び監視が適切に実施されておらず不正アクセスを迅速に検知するに至らなかったことから外部からの不正アクセス等の防止のための措置に問題があったとして安全管理措置上の不備があったとしています。一方、社労士事務所などエムケイシステムのユーザーについては、「本件漏えい等事態は、エムケイ社側の責任の範囲において生じた事態」として社労士事務所等ユーザーには安全管理措置の不備は認められないとしました。
個人情報保護委員会はエムケイシステムに対して個人データの安全管理のために必要かつ適切な措置を講じるように指導し、4月26日までに再発防止策の実施状況を報告するように求めています。また、個人情報保護委員会は今回の件を踏まえ、クラウドサービスの利用が委託等に該当するケースがあるとの理解が不足しているとし、クラウドサービスを利用して個人情報を扱う場合や個人データを取り扱う業務の委託先がクラウドサービスを利用している場合、委託元は委託先に対する監督義務があるとの注意喚起を行いました。
エムケイシステムは昨年6月5日にシステムの異常を検知し、ランサムウェア攻撃を受けたと明らかにしました。しかし、ランサムウェアの具体的な名称や身代金要求の有無などは明らかにしておらず、またデータの漏えいについては同社が昨年7月31日に公表したフォレンジック調査の結果報告では、何らかのデータが攻撃者によって窃取された可能性は否定できないとしつつも、情報窃取やデータの外部転送等に関する痕跡は確認されず、ダークウェブ等での公開も確認されなかったとして情報流出は確認されなかったと結論付けています。
エムケイシステムへのランサムウェア攻撃を受けて、企業から委託されて同社システムを使って給与計算や社会保険、雇用保険の申請手続き等を行っていた全国の社労士事務所が相次ぎ個人情報保護委員会に報告をする事態となり、委員会がエムケイシステムのユーザーから受けた報告は3067件(749万6080人分)にのぼったということです。
■出典