東京都水道局の事業を再委託された企業がサイバー攻撃を受け、約13万件規模の個人情報が流出したおそれがあると報じられた。公共インフラを支える水道事業は、住民生活に直結する重要サービスであり、情報漏えいの影響は「個人への被害」だけでなく、行政・事業体への信頼毀損、問い合わせ対応や再発防止に伴うコスト増、さらには委託網全体の運用停滞へと波及しうる。
本件で特に重要なのは、攻撃対象が“本体”ではなく「再委託先」である点だ。DXや業務効率化の進展により、自治体・公的機関の業務は複数の委託・再委託先に分散している。サプライチェーン(委託網)全体のどこか一つでも対策が弱ければ、攻撃者はそこを起点に情報を奪取し、被害は発注者側に跳ね返る。今回のニュースは、その構造的リスクが現実のものとして顕在化した事例といえる。
なぜ「再委託先」が狙われるのか
攻撃者が再委託先を狙う背景には、いくつかの合理性がある。
セキュリティ投資・運用のばらつき
委託元(自治体や大手事業者)は一定のセキュリティ基準や監査体制を整えていても、再委託先に同水準の統制が行き届いていないことがある。特に中小企業や専門業者では、専任要員不足、ログ監視体制の未整備、資産管理の不徹底が起きやすい。攻撃者は「堅い正面」ではなく「柔らかい側面」を突く。
業務上やむを得ない“広いアクセス”
委託業務の遂行に必要な範囲で、個人情報を含むデータへのアクセス権限、リモート接続、ファイル共有が提供されることがある。最小権限が徹底されていないと、侵害時の取得可能データが一気に広がる。
ランサムウェアと二重恐喝の常態化
近年多いのは、侵入→権限昇格→情報窃取→暗号化→「公開すると脅す」という二重恐喝型だ。バックアップがあっても“窃取済みデータ”の公開リスクは残り、結果として「流出のおそれ」という表現が長期化しやすい。調査やフォレンジック(侵害解析)に時間を要するため、確定までに段階的な公表となることも多い。
約13万件規模の「流出のおそれ」が意味するもの
報道で用いられる「流出のおそれ」は、必ずしも“第三者による入手が確定”したことを直ちに意味しない一方、攻撃者がシステム内のデータに接触・取得した可能性が否定できない状態を指すことが多い。ログが十分に残っていない、攻撃者が痕跡を消している、もしくは外部送信の証跡確認に時間を要する場合、被害範囲の確定は難航する。
この段階で重要なのは、過小評価を避けつつ、住民・利用者が取るべき行動を明確にすることだ。氏名・住所・連絡先等の漏えい懸念がある場合、フィッシングやなりすまし、詐欺電話・SMSの増加といった二次被害が起こりやすい。行政や関係企業は「問い合わせ窓口」「注意喚起の具体例」「公式連絡手段の明示」を早期に整備する必要がある。
委託元が負うべき責任と、発注時に見直すべきポイント
委託・再委託が一般化した今、発注者が「委託したから終わり」という考え方で安全を担保するのは困難である。実務上は、契約・技術・運用の三点セットで統制を効かせることが要諦となる。
契約で担保するべき要件
再委託の可否と条件、再委託先の事前承認、セキュリティ要件の準拠、インシデント発生時の報告期限(例:検知後24時間以内の一次報告)、調査協力、ログ提出、再発防止策の実施義務、監査権(オンサイト/リモート)、違反時の措置などを明文化すべきだ。
また、個人情報の取り扱いについては、目的外利用の禁止、保管期間と消去方法、暗号化要件、媒体管理、持ち出しルール、委託終了時の返却・消去証明など、運用まで落とし込んだ条項が必要になる。
技術面で最低限そろえる防御
委託先・再委託先を含め、次のような基本対策は「推奨」ではなく“要件”として扱うべきである。
多要素認証(MFA)の徹底:メール、VPN、クラウド管理画面、リモートデスクトップなど侵入口になりやすい箇所は必須。
特権ID管理:管理者権限の付与・棚卸し、使い回し禁止、操作ログ取得。
EDR/アンチウイルスの運用:導入だけでなく検知時の対応手順と連絡体制まで整備。
脆弱性管理とパッチ適用:インターネット公開機器やVPN装置、ファイル共有サーバの更新遅れは致命傷になりやすい。
ネットワーク分離とデータ最小化:業務上必要な範囲にアクセスを限定し、万一の侵害でも横展開を抑える。
バックアップの隔離:ランサムウェア対策として、オフライン/イミュータブル(改ざん困難)な保管と復旧訓練を行う。
運用面で差が出る「検知」と「初動」
実被害を最小化できるかどうかは、侵入を早期に検知し、初動で封じ込められるかにかかっている。ログの集中管理、監視の担当分界、夜間・休日の連絡網、端末隔離・アカウント停止の権限委譲、外部専門会社との契約(フォレンジック、危機管理広報、コールセンター)を平時から整えておくべきだ。
住民・利用者が取るべき現実的な対策
流出が確定していない段階でも、二次被害を防ぐ観点から以下は有効だ。
不審な連絡に注意:料金の未払い、還付金、手続きの緊急性を煽る電話・SMS・メールは疑う。
URLを直接開かない:自治体・企業を名乗るメッセージ内のリンクは踏まず、公式サイトから確認する。
個人情報を口頭で渡さない:生年月日、口座情報、暗証番号等を求められても即答しない。
パスワード使い回しの点検:同一パスワードの使い回しは被害を拡大させる。可能ならMFAも有効化する。
公共インフラの委託網に必要な「平時の統治」
水道を含む公共インフラは、停止や混乱が社会に与える影響が大きい。そのため、情報セキュリティは「各社の努力」に委ねるのではなく、委託網全体のガバナンスとして設計する必要がある。具体的には、委託先のセキュリティ成熟度を可視化する評価、定期的な監査と改善計画、インシデント訓練の共同実施、データ授受の標準化、再委託先まで含めたSBOM的な“取引・接続の棚卸し”が求められる。
今回のような事案は、単発の不運ではなく、委託構造が複雑化した社会では繰り返し得る。発注者は「再委託先も含めた一体のセキュリティ」を前提に契約と運用を設計し、委託先は“自社だけ守れば良い”ではなく“取引先の信頼を背負う”体制へ移行しなければならない。公共サービスの信頼は、委託網の最も弱い部分で決まるという現実を、今こそ直視する必要がある。
参照: 東京都水道局の事業を再委託された会社がサイバー攻撃受ける およそ13万件の個人情報が流出のおそれ – TBS NEWS DIG