徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……

スポンサーリンク
イセトー アセンション

徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……

イセトーはマイナンバー事業に深く関与している会社

 徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。

photo 漏えいした可能性がある情報(徳島県の発表から引用、以下同)

 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人(13万2503人分)のもので、4万6022件が法人(7691組織分)のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件(同人数分、いずれも個人の情報)と、氏名、住所、還付額の書かれた22年度還付充当通知書1件(同)も漏えいした可能性がある。

 

 徳島県は、イセトーの事務処理には不適切な点があったと発表している。イセトーの社内ネットワークは業務系と基幹系の2系統に分かれており、ランサムウェア攻撃にあったのは基幹系だった。本来、徳島県の個人情報を取り扱うのは業務系のはずだったが、イセトーは基幹系で扱っていたという。また、イセトーとの22年度、23年度の契約は終了しており、すでに個人情報を削除した旨の報告書を受け取っていたものの、実際には削除されていなかったとしている。

photo 漏えいした可能性がある情報(徳島県の発表から引用、以下同)

 イセトーへのランサムウェア攻撃を巡っては、他にも京都商工会議所、クボタ子会社、和歌山市などが同様の発表をしており、それぞれ数万件から十数万件の情報が漏えいした可能性があるとしている。このうち和歌山市は、徳島県と同様に契約終了後もデータが削除されていなかったと発表している。

 徳島県によれば、原因となるランサムウェアは「8Base」だとする報告をイセトーから受けているという。イセトーは個人情報の取り扱い体制について評価するプライバシーマーク制度やISMSの認証を受けている。

マイコメント

最近、こうしたコンピュータウイルス感染による情報漏洩が相次いでいるが、今年の12月に
健康保険証がマイナカードに一本化されることに危機感を抱く人も多いだろうと思います。

それだけ、日本の情報セキュリティ対策が甘いという事だろう。
というより、セキュリティにあまりコストをかけたがらないことが原因とも思えます。

セキュリティにコストをかけていれば今回のイセトーの情報管理の問題点が事前に洗い出され
対策を講じていただろうと思うし、もし、そうでなければ会社の管理者の考えが甘かったと
いう事になります。

しかし、こうした情報が漏れてしまった後で漏れた個人情報を保護することは不可能だろう。
そう考えると、マイナンバーカードのセキュリティには重大な懸念を感じます。

コメント

タイトルとURLをコピーしました