厚生労働省が一般社団法人三重技能士会(以下「受託法人」という。)に業務委託して実施した「令和4年度若年技能者人材育成支援等事業(三重県)」(以下「委託事業」という。)において、個人情報漏えい事案が発生したため、概要をお知らせします。
今回、受託法人のパソコンがマルウェア・Emotet(エモテット)に感染し、委託事業の利用者や関係機関のメールアドレス、差出人名が使用された「なりすましメール」が、利用者と関係機関に送信される事案が発生しました。
関係者の皆さまに多大なご迷惑をお掛けしましたことを深くお詫びします。下記のとおり、必要な措置を講じ、今後も再発防止に努めてまいります。
1 事案概要
今年6月7日以降、受託法人の職員や本委託事業の他の受託者を名乗る「なりすましメール」が受託法人や他の受託者宛てに複数届いたことから、受託法人と他の受託者に対し、ウイルス感染の有無を確認するよう指示したところ、受託法人の使用するパソコン1台で Emotet の感染が確認された。これにより、当該パソコンに保存されていた 1,968 件のメールと Outlook のアドレス帳に記載・登録されているメールアドレスと差出人名の個人情報や団体情報の漏えい、またはその可能性がある。また、1,968 件のうち 61 件では、メールアドレスと差出人名のほか、当該個人の住所・電話番号、勤務先住所・電話番号等が記載されており、これらが漏えいしたおそれもあることが判明したもの。なお、現在において、不正使用などの二次被害の発生は確認されていない。
2 事実経過・対応状況
- 令和4年6月8日、「昨日(7日)から受託法人の職員や本委託事業の他の受託者を名乗る「なりすましメール」が受託法人や他の受託者宛てに複数届いている」旨の報告を受けた。また、厚生労働省にも「なりすましメール」が複数届いた。
- 同日、「なりすましメール」の内容から受託法人から情報が漏えいしたことが強く疑われたため、厚生労働省が確認したところ、受託法人の使用するパソコン1台で Emotet の感染が確認された。
- 同日、厚生労働省が、他の受託者に対してもウイルス感染のチェックを行う等を指示した。
- 同日以降、受託法人が、漏えいしたメールの件数や、メールに記載されている情報の特定等を行い、個人情報等の漏えいの可能性がある個人・団体に対し、訪問等による謝罪を実施した(計 161 個人・団体(注))。
加えて、6月 17 日に受託法人のウェブサイトにも謝罪文を掲載した。
(注)漏えいした可能性のあるメール 1,968 件とアドレス帳に登録されているメールアドレスのうち重複を排除した件数 - また、他の受託者については、これまでウイルス感染に伴う情報漏えいは確認されていない。
3 再発防止策
【受託法人の取り組み】
- 外部からの不正アクセス防止対策を講じた上で、情報セキュリティの強化
- 情報セキュリティに関する再発防止研修の実施(7月 12 日に外部講師を招いて実施)
- 「なりすましメール」への注意喚起の徹底 等
【厚生労働省の取り組み】
このたびの「なりすましメール」の発信状況等の事案概要を踏まえ、受託法人のみならず、本事業の全ての受託者に対し、情報セキュリティ対策の徹底を通知した。