中部地方整備局管内の事務所発注業務を受注した株式会社オリエンタルコンサルタンツ(以下「受注者」)の業務補助を担当していた株式会社ラグロフ設計工房(以下「補助業務担当企業」)が、ランサムウェアによるサイバー攻撃を受けたことで、個人情報を含む資料が外部に流出したおそれがありました。事案の概要等は次のとおりであり、現時点において個人情報の漏えいは確認されておりません。
皆様にはご心配をおかけしましたことをお詫び申し上げます。今後、再発防止に向け、個人情報の適切な管理・取扱いを徹底してまいります。
1.事案の概要
(1)対象業務
「令和3年度 豊橋河川施工計画検討業務」豊橋河川事務所発注
「令和4年度 安倍川水系砂防堰堤詳細設計業務」静岡河川事務所発注
「令和4年度 富士砂防事務所砂防施設設計業務」富士砂防事務所発注
「令和4年度 越美山系砂防事務所管内砂防施設詳細設計業務」越美山系砂防事務所発注
「令和4年度 越美山系松後谷砂防堰堤詳細設計業務」越美山系砂防事務所発注
(2)経緯
令和5年2月9日に補助業務担当企業の社員が、社内共有ファイルサーバーの異変を確認。
社内共有ファイルサーバーを社内ネットワークから切断するとともに、警察に相談しました。同日午後に警察による調査が行われ、ランサムウェアによるサイバー攻撃を受けていることが判明しました。
また、補助業務の遂行に必要な資料に個人情報が含まれていることが発覚したため、中部地方整備局において受注者及び補助業務担当企業へ聞き取り調査を行い、漏えいしたおそれのある情報の内容や件数等の確認を行いました。
補助業務担当企業は、同年2月15日に自社の共有サーバーに対してサイバー攻撃による被害が発生した旨を、2月22日に事案に関する経緯と今後の対策の詳細を、4月26日に外部へ情報が流出した事実は見られない旨及び再発防止策について、それぞれホームページ上で公表しております。
同年6月9日、VPN機器の脆弱性をついたVPNアカウントの窃取によるNASへのランサムウェア感染が原因と判明しております。
本事案につきましては、発生後速やかに個人情報の保護に関する法律第 68 条第 1 項の規定により、個人情報保護委員会へ報告を行っており、同法第 68 条第 2 項の規定に基づき、令和6年4月10日までに連絡先が特定できる方について通知を行うとともに、今般、事案について公表をするものです。
2.漏えいが発生したおそれがあった個人情報
補助業務の遂行に必要な資料に含まれていた次の情報
<豊橋河川事務所>
平面図(豊田市秋葉町地先)に記載された地番・氏名 56名分
会社の社員の氏名 10名分
<静岡河川事務所>
公図(静岡市葵区梅ヶ島地先・有東木地先・ 入島地先)に記載された氏名 25名分
会社の社員の氏名 69名分
<富士砂防事務所>
公図(富士市大淵字丸尾東地先)に記載された氏名 21名分
会社の社員の氏名 14名分
<越美山系砂防事務所>
公図(本巣市根尾高尾地先・根尾板所地先、揖斐郡揖斐川町日坂地先・坂内川上地先)に記載された氏名 118名分
会社の社員の氏名 89名分・メールアドレス 32名分
土地登記簿(本巣市根尾板所地先) 19名分
計 453名分(内、連絡先が特定できる210名の方には通知をいたしました)
3.二次被害又はそのおそれの有無
現時点において、外部へ情報が流出した事実は確認されていません。今後も監視を継続して実施し、個人情報の漏えいが発覚した場合は、受注者及び補助業務担当企業から速やかに報告を受けることとしています。
4.再発防止策
保有個人情報の漏えいの防止その他の安全管理の一層の徹底を図ってまいります。