当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス(以下、「本事案」)を受け、サービス提供の停止を余儀なくされておりました。
このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。
1.事態の概要
2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。
①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム(以下、「エムケイシステム社」)社から2023年6月5日(月)に本事案に関する連絡を受けた。
②2023年6月6日(火)に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。
③個人情報保護委員会宛本事案の速報を行った。
その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。
不正アクセスによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース(https://www.mks.jp/company/topics/)をご参照ください)。
なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。
2.対象となり得る方
当センターと雇用契約を締結したことのある方ならびにその被扶養者
3.対象となるデータの項目
氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)
(注)なお、マイナンバーは流出の恐れの情報範囲には含まれていません。
4.原因
エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。
5.二次被害又はそのおそれの有無及びその内容
エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。