2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。
当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名(以下、当該審査員)が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿(過去のものを含む)が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。
関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。
※2 コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称
1.本事案の概要と経緯
2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。
これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。
なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。
その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿(一般社団法人日本印刷産業連合会は2008年から2011年)が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。
(1)漏えいを確認した又は漏えいのおそれがある情報
①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数 1社
漏えいのおそれがある事業者様の数
最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)
b)情報の内容
<事業者様情報>
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス(当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中)
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
<審査関連資料>
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制
②審査員名簿※3
※3 当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数(当協会642名、一般社団法人日本印刷産業連合会27名)
b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
(2)発生原因
①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。
ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。
しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。
このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。
本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。
②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。
2.再発防止策と今後の対応
(1)再発防止策
①当協会と審査業務委託契約を締結している全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示しました。また、個人所有のパソコンでの審査作業を全面的に禁止いたしました。今後は、当協会が貸与する十分なセキュリティ対策(他の機器との接続不可を含む。)を施したパソコンのみを用いて審査業務を行うこととします。(貸与完了予定時期:本年12月)
また、全ての審査員に対して、審査関連資料の適切な取扱いを改めて周知徹底するとともに、貸与パソコンの取扱状況の監視・点検を行います。
さらに、これらに関する定期的な研修を強化し、今回のような事案が決して再発しないよう、取り組んでまいります。
②上記①の措置が確実に行われていることを担保するために、担当部門が行う貸与パソコンの取扱い状況の監視・点検や審査員研修の実施状況について、担当部門以外の者が定期的に監査するなど、当協会としての監査体制を強化します。
③他の審査機関の審査員に対しても、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示したことを確認しました。また、各審査機関の実態をふまえて、当協会と同じようなレベルでのセキュリティを確保するよう要請しました。
(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応
現在までに漏えいを確認した事業者様及び漏えいのおそれがある事業者様につきましては、既に書面にてご連絡を差し上げております。専用のご相談窓口(コールセンター)を設置いたしましたので、ご不明な点等がございましたらご連絡ください。また、個人情報の漏えいのおそれがある審査員につきましても、既にご連絡いたしております。
