このたび、本県の公共事業における測量・設計等業務の委託先である柴山コンサルタント株式会社(以下、同社という)、柴山コンサルタント司法書士法人、柴山コンサルタント土地家屋調査士法人、柴山コンサルタント税理士法人及び株式会社柴山事務所(以下、柴山グループという)のデータを管理するサーバーの一つに対して、第三者からの不正アクセス被害があり、柴山グループが保有していた個人情報が漏えいしたおそれがあると、同社から報告がありました。
当該報告では、柴山グループが保有していた個人情報の漏えい内容は特定されておらず、県の情報が保管されていたサーバーへのアクセスはないが、不正アクセスされたサーバーを経由して情報漏えいした可能性を否定できないことから、本県の委託業務に係る情報も漏えいしたおそれのある情報の中に含まれるとのことです。
本県の公共事業にご協力いただいた皆様を始め、関係者の方々にご迷惑をおかけしたことを深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。
1 被害状況
(1)不正アクセスを受けた会社
- 柴山コンサルタント株式会社(本県の業務委託先)
- 柴山コンサルタント司法書士法人
- 柴山コンサルタント土地家屋調査士法人
- 柴山コンサルタント税理士法人
- 株式会社柴山事務所
(2)経緯
- 2024 年6月 30 日(日)
柴山グループが管理するサーバーが不正アクセスの被害を受けた。
- 2024 年7月2日(火)
同社が愛知県警に相談し、被害届を提出した。
- 2024 年7月 11 日(木)
同社が情報セキュリティ委託業者へ、情報漏えいに関する調査を依頼した。
- 2024 年7月 19 日(金)
同社から本県に対して、不正アクセスを受けたこと、個人情報の漏えいについて調査中であること、不正利用等は現時点では確認されていないことの報告があった。
- 2024 年9月 12 日(木)
同社から本県に対して、同社の情報セキュリティ委託業者による調査の結果、個人情報が漏えいしたおそれ(※)がある旨の報告があった。
※漏えいしたおそれと判断した同社の考え方
- 同社が管理するサーバーは三つあり、それぞれが接続されている。
- そのうち一つのサーバーに対して、不正アクセスがあった。
- 一方、県の委託業務のデータが保管されているサーバーには不正アクセスはなかった。
- しかしながら、
①漏えい情報を調査した結果、どの情報が漏えいしたかは特定されなかった。
②サーバー間のデータ移動について調査した結果、サーバー間のデータ移動に関して特定できなかった。 - ①②により情報漏えいの可能性を否定できないため、漏えいのおそれがあると判断した。
(3)漏えいしたおそれのある個人情報
柴山グループが保有していた個人情報が漏えいしたおそれがあり、そのうち、本県の委託業務に係るものはのべ 683 名分であった。
個人情報については、契約約款に基づき委託先においても管理している。
| 委託業務名 | 件数 | のべ人数 | 主な個人情報 |
|---|---|---|---|
| 用地調査及び物件調査業務委託(※1) | 36件 | 413名 | 用地調査 住所、氏名、電話番号、実測面積、境界標の座標に関する情報 物件調査 住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置) |
| 測量及び設計業務委託(※2) | 4件 | 226名 | 住所、氏名、電話番号、実測面積、境界標の座標に関する情報 |
| 事業損失防止調査業務委託(※3) | 4件 | 16名 | 住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置) |
| 住宅工作物調査等委託(※4) | 2件 | 28名 | 住所、氏名、電話番号 |
(4)柴山グループの対応
同社において、本日から、漏えいしたおそれのある対象者宛てに順次お知らせするとともに、問合せ窓口を設置して対応する。
2 県の対応(再発防止策)
県としては、今回の事案を踏まえ、個人情報の適正な管理及び取扱いについて、受託者を指導するとともに、同様の事案が発生しないよう、関係団体に対し、個人情報の漏えいの防止その他の安全管理の一層の徹底を図り、再発防止に努める。