社会保険・労働保険の申請手続きや給与計算など社労士や企業総務部向けの支援システムをクラウドで提供している株式会社エムケイシステム(大阪市北区)がランサムウェア攻撃を受けたことを明らかにしています。同社システムで管理している事業所は約57万事業所にのぼっており影響の広がりが懸念されます。
57万事業所、826万人を管理
エムケイシステムの発表によると、6月5日の早朝に同社データセンターのサーバーがダウンし、外部専門家の協力を得て調査を行ったところ不正アクセスの可能性が発覚したため関連するインターネット回線を遮断したということです。さらにその後の調査でランサムウェアによる第三者からの不正アクセスと断定し、対策本部を設置するとともに警察に通報したということです。サーバーは暗号化されているということですが、データの流出は確認されていないとしています。ただし、流出の可能性も考慮して6月8日に個人情報保護員会に報告を行ったということです。どのようなランサムウェアによる攻撃を受けたのかは明らかにしていません。
影響を受けているのは社労夢のV3.4と5.0とCompany Edition、ネットde顧問、MYNABOX、MYNABOX CL、ネットde事務組合、Direct HRだということです。社労夢は社労士業務を支援するクラウドによるシステムで、社会保険や労働保険の煩雑な申請手続きを大幅に効率化することから社会保険労務士事務所で広く利用されており、また、Company Editionは社労士業務の内製化を図る企業向けのシステムです。エムケイシステムによると、利用している社労士事務所は約2800、システムが管理している事業所は約57万、人数にして約826万人にのぼるということです。
このためネットでは、エムケイシステムの状況について告知する社労士事務所のウェブサイトが散見されるほか、ツイッターでは社労夢のハッシュタグをつけて社労士らが状況を報告したり、データの流出があった場合の対応について発信しているツイートも見受けられます。全国社会保険労務士会のサイトでは会員の社労士向けにエムケイシステムのランサムウェア感染被害にかかる個人情報保護委員会への報告義務に関するお知らせを掲載しているようです。
「マイナンバーを含む個人情報漏えいのおそれ」
個人情報保護法では不正の目的をもって行われたおそれのある個人データの漏えい等については、発覚日から3~5日以内に速報を、60日以内に確報を個人情報保護委員会に提出するとともに本人への通知を義務付けています。このため、エムケイシステムを利用している社労士も、ランサムウェア攻撃によりエムケイシステムのサーバーからデータが流出した場合、個人情報保護委員会への報告義務や本人への通知義務が生じることになるようです。
すでに関係者に対してメール通知を行っている企業もあり、このメールでは「委託先である社会保険労務士において利用するシステム『社労夢』のサーバーがランサムウェアによる第三者からの不正アクセスを受けたことが判明いたしました」などとした上で、マイナンバーを含む個人情報が漏えいしたおそれが否定できない、とも指摘しています。
エムケイシステムでは、給与計算システムについてWEB版を提供して対応するとともに、データの復元作業を進めていて、6月9日のお知らせでは6月10日には全データの復元を完了するとしています。ただし、システム全体の復旧については目途が立っておらず、調査も継続しているとしています。一方、ツイッターでは社労士らから戸惑いや不満、怒りの声がツイートされている状況で、今後の展開次第ではさらなる混乱が予想されます。エムケイシステムは社労士業界では最大手のシステム企業ということですので、利用している社労士事務所や企業も多く、万一、ランサムウェアの攻撃者にデータが窃取されて流出していた場合はより深刻な事態となる恐れがあります。
【出典】