【セキュリティ事件簿#2024-116】早稲田スポーツ新聞会 弊会ホームページにおけるウイルス感染に関するお詫びとお知らせ 2024/3/17

 早稲田スポーツ新聞会

平素より早稲田スポーツ新聞会をご愛読いただきまして、誠にありがとうございます。

2023年末より、弊会ホームページがコンピューターウイルスに感染していたことが判明いたしました。

このウイルスにより、以下の被害が発生しております。

・ページ上に広告が貼られる

・特定のページにアクセスできない

・意図せずファイルがダウンロードされる

2月29日以降に、弊会ホームページからファイルをダウンロードされた皆様におかれましては、添付ファイルを開かずに削除していただきますようお願いいたします。

読者の皆様、体育各部の関係者の皆様には多大なご迷惑、ご心配をお掛けしたことを心より深くお詫び申し上げます。

また再発防止のため当サイトを閉鎖しリニューアルすることを決定しました。ホームページの改修に伴い、2024年3月18日(月)より一時閉鎖させていただきたく存じます。

新サイトは、2024年4月上旬に公開予定です。

サイト閉鎖中は以下のブログにて、ホームページと同じ形式で記事の配信を行っていく予定です。

https://ameblo.jp/wasedasportsblog/

当会として今回の事態を重く受け止め、再発防止に努めるとともに、今後より一層の情報セキュリティ対策の強化に努めてまいります。何卒、ご理解とご協力を賜りますようお願い申し上げます。

今後も早稲田スポーツ新聞会をよろしくお願いいたします。

リリース文アーカイブ

セキュリテインシデントの原因別分類 Ver.20240404

セキュリテインシデントの原因別分類

セキュリティインシデントは世の中で日々起きており、それに伴って攻撃名称もいろいろ増えているが、個人的にセキュリティインシデントの原因はシステムの脆弱性か、人の脆弱性の二つしかないと思っている。

ただその二つだとざっくり過ぎるので、いろいろ見ていたら、JNSAに参考になりそうなものがあった。

ただ、個人的に首をかしげるものもあったので、もう少しサマってみたものが下記である。

今後この分類をベースに世の中で発生するインシデントの分類分けを進めてみたい。

尚、セキュリティインシデントの大半は結果として情報漏洩が伴うものの、サイト改ざんやDDoS等、サービス妨害系はその他に分類することにしてみる。

設定ミス

WebやSaaS等の設定ミスにより外部から閲覧できる状態になっていて、機密情報が閲覧される。(システム構成ミス)

誤操作

宛先違いによって、電子メール・FAX・郵便の誤送信が発生。情報の公開・管理ルールが明確化されておらず、誤って開示。(業務担当者によるミス)

脆弱性

OS、アプリケーション等のバグ・セキュリティホールなどにより、Web等から機密情報が閲覧可能、又は漏洩

不正アクセス

ネットワークを経由して、アクセス制御を破って侵入され、機密情報が外部に漏洩。(ソーシャルエンジニアリングやパスワードリスト攻撃を想定)

内部犯行

社員、派遣社員、外部委託業者、出入り業者、元社員などが故意・悪意問わずに持ち出した情報が外部に漏洩(サポート詐欺含む)

目的外使用

組織が意図的に個人情報等の機密情報を目的以外の用途で使用・公開

紛失

電車、飲食店など外部の場所にPC、情報媒体を紛失または置き忘れ。引っ越し後に個人情報が分からなくなった。個人情報の受け渡しが不十分で受け取ったはずの個人情報が紛失した。

盗難

車上荒らし、事務所荒らしなどにより、PC等の情報媒体とともに機密情報が盗難。

マルウエア感染

マルウエア感染による情報漏洩

その他

上記に分類されないものやDDoS、サイト改ざん等情報漏洩ではないインシデント


出典:情報セキュリティインシデントに関する調査報告書

【セキュリティ事件簿#2024-114】Electronic Arts プロ e スポーツ選手のアカウントがハッキングされる 2024/3/20


現地時間17日日曜日に北部アメリカ地域対象に行われたALGS の大会中、Apex Legendsのプロ選手のアカウントがハッキングを受けました。

プレイヤーとゲームのセキュリティが最優先事項であり、当該競技を延期するとともに、ただちに問題調査および分析を開始いたしました。

当社チームにより、Apex Legendsのプレイヤーコミュニティを守りすべての人にとって安全な体験をお届けするための、階層化された一連のアップデートの中の最初のアップデートが展開されました。

皆様にはご不安を抱かせてしまい恐縮でございますが、
ご理解のほど何卒よろしくお願い申し上げます。

【セキュリティ事件簿#2024-040】株式会社日刊工業新聞社 求職情報サイトにおける個人情報流出の可能性について調査結果のご報告 2024/4/2


当社が運営する求職情報ウェブサイト「ホワイトメーカーズ」 (URL:https://kyujinnikkan.com/)がサイト改ざん被害を受け、お客さまの個人情報(氏名・メールアドレス・暗号化されたパスワード)が外部流出した可能性を否定できないことにつきまして、2024年2月9日にお知らせ致しました。(以下、既報)

この度、外部専門機関の協力のもと進めてまいりましたフォレンジック調査が完了致しましたので、調査結果および再発防止に向けた取り組みにつきましてご報告申しあげます。

流出した可能性のあるお客さまをはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1.調査結果概要

既報のとおり、「ホワイトメーカーズ」において利用しているCMS(コンテンツ・マネジメント・システム)のプラグインの脆弱性を悪用され、侵害を受けた可能性があります。その影響に伴い、遠隔操作を可能とする複数の不審なプログラムが設置され、不正に操作されていたと考えられます。

また、圧縮形式のファイルのダウンロードが確認されたことから、情報漏えいが発生していると考えられます。しかし、ダウンロード対象のファイルにおいて、データの詳細は判明しておりません。ただし、データベースへのアクセスが可能であったことを鑑みると、データベースの内容が漏えいしていた可能性は否定できません。

2.再発防止のための措置

(1)実施済みの措置

①パスワードの変更

データベースへのアクセスが可能であったことから、情報漏えいの可能性があると考えられるため、漏えいした情報が悪用される可能性を考慮し、以下の対策を実施致しました。

 ・管理者パスワードの変更
 ・データベースのパスワード変更
 ・該当サーバへのメンテナンス接続(FTP 等)の際に利用するID におけるパスワード変更
 ・レンタルサーバの管理コンソールへのログインパスワードの変更

②ソフトウェア、プラグインのバージョンアップ

脆弱性の対策を行うため、ソフトウェアやプラグインのバージョンアップを実施致しました。

③WAF(Web Application Firewall)の設定強化

Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するため、WAFの設定を強化しました。

(2)今後実施予定の措置

①脆弱性診断の定期的な実施

脆弱性対策を行うため、第三者による脆弱性診断を実施するプロセスを確立し、定着した運用として遂行してまいります。

②ソフトウェアの定期的なバージョンアップ運用の実施

脆弱性対策を行うため、ソフトウェアやプラグイン等を含めたバージョンアップを実施するプロセスを確立し、定着した運用として遂行してまいります。

③セキュリティ対策製品の導入

侵入検知システムなどのセキュリティ対策製品の導入を進めてまいります。また、必要に応じてセキュリティ監視等も行い、早期対処を可能とする体制構築を検討してまいります。

④ログ取得対象の見直しと外部保管

現状、当該サイトではアクセスログのみを保管しておりましたが、アプリケーションログ等、他のログも取得してまいります。併せて、サーバ内に保管するだけでなく、長期間の保管を想定し、外部保管も検討致します。

⑤改ざん検知システムの導入

改ざん被害を早期に検出するために、改ざん検知システムの導入を検討致します。

3.流出した可能性のある個人情報および対象人数(既報)

 ・個人情報:氏名、メールアドレス、暗号化済みパスワード
 ・対象人数:250人

4.お客さまへのお願い(既報)

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意くださいますようお願い申し上げます。


【2024/2/9リリース文】

【セキュリティ事件簿#2024-113】近畿大学 個人情報の流出について 2024/3/19

近畿大学

このたび、Googleフォームの設定ミスによる個人情報の流出が判明いたしました。
該当する方々、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。
なお、本日までに、この個人情報の流出による被害の報告はありません。

1.事案の内容

令和6年(2024年)1月31日(水)から、 入学式パフォーマンスユニットKINDAI WELCOMES新入生メンバー募集の応募フォームを、近畿大学公式SNSおよび大学受験ポータルサイト「UCARO」で公開しました。2月28日(水)に、応募者から、応募済みの他者の回答内容が閲覧できる状況であるとメールで指摘を受け、確認したところ、Googleフォームの結果の概要を表示する設定をオンになった状態で公開する設定ミスにより、指摘のとおり個人情報が流出していたことが判明しました。

2.流出した情報

KINDAI WELCOMES新入生メンバーに応募した12人の氏名、入学予定の学部・学科、電話番号、メールアドレス、応募内容

3.対応

① 当該応募フォームにて回答内容を閲覧できないようすみやかに設定を変更しました。
② 対象者12人に状況を説明したうえでお詫びし、他者の個人情報を取得していた場合は削除するようお願いしました。

4.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。
① Googleフォームを利用する場合は、設定について複数人でチェックを行い、登録テストを実施してから公開するように徹底する。
② 教職員の情報セキュリティ研修の受講を徹底する。

【セキュリティ事件簿#2024-042】株式会社日水コン 個人情報の一部流出の恐れに関するお詫びとお知らせ 2024/4/2

 

株式会社日水コンは、当社のコーポレートサイト(以下「当社サイト」という。)への不正アクセスにより個人情報の一部が流出した恐れがあることを確認いたしました。このたび、外部専門機関の協力の下で進めてまいりました本件に関する調査が完了いたしましたので、概要等についてお知らせいたします。

なお、現時点では本件にかかわる個人情報の不正利用は確認されておりません。

お客さま及び関係者の皆さまには、多大なるご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.経緯

(1)2024年1月28日

当社サイトへの不正アクセスが発覚したため、同日、当社サイトを閉鎖し、外部専門機関へ報告・相談いたしました。その後、社内に災害対策本部を設置し、警察及び関係機関への報告、外部専門機関への調査等を依頼いたしました。

(2)2024年2月8日、2月22日

本件に関するお知らせを当社サイトに掲載いたしました。

(3)2024年3月14日

調査の結果、当社サイトのお問合せフォームに入力された個人情報が保管されていることを確認いたしました。なお、現時点までに個人情報の流出等は確認されておらず、二次被害の報告も受けておりません。

以後、外部専門機関からのアドバイスを受けて再発防止策等を実施しております。

2.外部流出した恐れのある個人情報

当社サイトのお問合せフォームに記入いただいた個人情報について、外部に流出した恐れがあります。

(1)項目

①氏名 ②部署名 ③会社名 ④電話番号 ⑤メールアドレス ⑥お問合せ内容

(2)対象となるお客さま

2016年10月から2024年1月までの期間に当社サイトのお問合せフォームに記入いただいたお客さま

3.原因

攻撃者は、動作検証用のテスト環境へのアクセス試行によりログインアカウントとパスワードを窃取し、公開用の本番環境へのアクセスを行ったものと考えられます。この不正アクセスによって、当社サイトから大量のメール送信やWebページの改ざんが行われたことを確認いたしました。

4.今後の対応

当社は、不正アクセスを受けたことを重く受け止め、セキュリティ体制を強化し、再発防止に向けて総力を挙げて取り組んでまいります。

本件につきましては、該当するお客さまをはじめ、関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

何卒ご理解とご協力を賜りますようお願いいたします。

リリース文アーカイブ

【2024年2月8日リリース】

リリース文アーカイブ

【セキュリティ事件簿#2024-112】株式会社アテックス 不正アクセスによるお客様個人情報流出に関するご報告とお詫び 2024/3/25

株式会社アテックス

弊社が運営していましたインスタグラムアカウント「atex.jp」(以下「当該アカウント」といいます。)が、本年1 月 11 日に外部からの着信メールによりフィッシング詐欺の被害に遭い、第三者より不正アクセスを受け、当該アカウントが乗っ取られた事案につきまして、弊社ホームページにてご報告いたしました。

その後の対応等につきまして、この度ご報告いたします。

【調査の結果について】

今回の事案発生後の詳しい調査の結果、当該アカウントのダイレクトメール機能を用いて頂戴しました261件のお客様個人情報 ( お名前、ご住所、お電話番号 ) が第三者に不正に閲覧されるおそれがあることが判明いたしました。なお、該当されるお客様には個別に郵送等によりお詫びとご報告を通知させていただいております。

【当該アカウントについて】

弊社では、事案発生当初より所轄警察署への相談とともに、インスタグラムの事業会社Meta Platforms, Incの日本法人に対策の要請を行いながら、当該アカウントを取り戻すことを試みてまいりましたが、残念ながら現在に至るまで取り戻すことができておらず、復旧は極めて困難な状況です。

引続き当該アカウントにおいて弊社から情報を発信することは一切ございませんのでご注意ください。 万が一、弊社を名乗った連絡や外部サイトへの誘導を促すURLや画面のリンクを受信された場合には、開かずにそのまま速やかに破棄いただけますようお願いいたします。

なお弊社公式アカウントにつきましては、上記の状況をふまえ、弊社が従来運営しておりました「Lourdes【ルルド公式】」アカウントを改称し、以下のアカウントとして再開させていただいておりますのでご案内いたします。

@atex_jp ATEX【アテックス公式】

https://www.instagram.com/atex_jp/

皆様には新しいアカウントを安心してご利用いただけますよう再発防止に努めて参ります。

【被害の状況について】

この度の情報流出により弊社に届いたものと同類の「不審なダイレクトメールの通知が届いている」とのご報告を頂戴しており、ご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

なお、財産上の被害等の二次被害の発生は確認されておりません。

【再発防止策について】

弊社は、本件の対策としましてセキュリティ管理の強化に一層努め、以下の措置を講じ、再発防止を徹底してまいります。

(1)すべての公式SNSアカウントの運用ルールの見直しを行い、ダイレクトメール上でのお客様個人情報の取得を禁止し、より安全な方法での取得と保管を徹底。

(2)すべての公式SNSアカウント管理の強化と徹底。

(3)全従業員に対する教育の徹底。

この度の事案によりお客様には、ご迷惑とご心配をおかけし誠に申し訳ございません。重ねて心よりお詫びを申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-208】個人情報保護委員会 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について 2024/3/25

株式会社エムケイシステム

個人情報保護委員会(以下「当委員会」という。)は、令和6年3月25日、株式会社エムケイシステム(以下「エムケイ社」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。

1.事案の概要

エムケイ社は、社会保険/人事労務業務支援システム(以下「本件システム」という。)を、社会保険労務士(以下「社労士」という。)の事務所等のユーザ(以下「ユーザ」という。)に対し、SaaS 環境においてサービス提供していたところ、令和5年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。

本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものである。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等(以下「クライアント」という。)の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等である。

エムケイ社の報告によれば、現時点において、個人データの悪用などの二次被害は確認されていない。

2.事案の規模

(1) エムケイ社からの情報による本件システムの利用実績

社労士事務所:2,754 事業所、管理事業所:約 57 万事業所 (令和5年4月1日時点)本件システムで管理する本人数:最大約 2,242 万人 (令和5年6月 5 日時点)

(2) 当委員会が受領した漏えい等報告件数

令和5年6月6日から現在までに受領した漏えい等報告件数は、報告者ベースで3,067 件(本人数計 7,496,080 人)である。大部分は社労士事務所からの提出であり、顧問先事業者との連名報告の形での報告が多かった。内訳は、社労士事務所等が 2,459件(本人数計 6,724,609 人)、顧問先事業者が 404 件(本人数計 392,125 人)、企業等が204 件(本人数計 379,346 人)である。 

3.エムケイ社が本件において個人データを取り扱っていたこと

(1) ガイドラインQ&A7-53 について

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「ガイドラインQ&A」という。)7-53 には、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」と記載されている。

(2) エムケイ社とユーザとの間の利用規約

本件システムの利用に当たり、エムケイ社は、ユーザに利用規約(以下「本件利用規
約」という。)の同意を求めていた。

(3) エムケイ社における実際の個人データの取扱いの状況

  • エムケイ社は、ユーザから本件システムの利用に関する調査・支援要請があった場合、両者の間で「個人情報授受確認書」(以下「授受確認書」という。)を取り交わした後、個人データを取り扱っていた。なお、令和5年上半期における、授受確認書によるエムケイ社の個人データ取扱い実績は、合計 20 件であった。

  • 授受確認書には、「個人情報保護法を遵守し、下記目的達成の為に個人情報を授受します。」「媒体 お客様の委託データ」「授受の形態 保守用 ID によるデータ調査」などの記載がある。

  • エムケイ社は、保守用 ID を有しており、これを用いて、本件システム上の個人データにアクセスすることが可能であった。

(4) 検討

ア 利用規約

本件利用規約においては、エムケイ社がサービスに関して保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。

イ アクセス制御

エムケイ社は、保守用 ID を有しており、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった。

ウ エムケイ社がユーザに提供するサービスの性質

ソフトウェアをインターネット経由で利用できるタイプのクラウドサービスにおいては、様々なアプリケーションやソフトウェアの提供があり得るところ、本件システムは、ユーザである社労士事務所や企業等が社会保険及び雇用保険の申請手続や給与計算等をオールインワンで行うことができるというものである。すなわち、本件においてエムケイ社がクラウドサービス上で提供するアプリケーションは、ユーザである社労士事務所や企業等が、個人の氏名、生年月日、性別、住所及び電話番号などの個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた。

エ エムケイ社による個人データの取扱いの状況

本件では、エムケイ社が、ユーザと授受確認書を取り交わした上で、実際にユーザの個人データを取り扱っていた実績がある。

オ 小括

以上の事実関係を考慮すると、本件において、クラウドサービス提供事業者であるエムケイ社がガイドラインQ&A7-53 の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められる。したがって、本件において、エムケイ社は、個人情報取扱事業者としてユーザから個人データの取扱いの委託を受けて個人データを取り扱っていたといえる。

(5) 補足

ガイドラインQ&A7-55 では、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当」しないこととされている。ここでは、例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要である。

本件において、エムケイ社が有する保守用 ID については、個人データの取得を防止するための技術的な措置は講じられていないことから、個人データの提供に該当し、委託に基づき個人データを取り扱っているものと認められる。

4.法律上の問題点

(1) エムケイ社について-安全管理措置(法第 23 条)の不備

法第 23 条において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定している。個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」において、個人情報取扱事業者は、技術的安全管理措置として、「個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。」(10-6(2)アクセス者の識別と認証)とされ、また、「個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。」(10-6(3)外部からの不正アクセス等の防止)とされている。

しかしながら、エムケイ社においては、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった。また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった。

したがって、エムケイ社においては、技術的安全管理措置に不備が認められる。

(2) ユーザ(エムケイ社の委託元)について

本件では、エムケイ社の技術的安全管理措置の不備が原因となり、ランサムウェアの侵入を許し、個人データの漏えい等のおそれが生じた。したがって、本件漏えい等事態は、クラウドサービス事業者であるエムケイ社側の責任の範囲において生じた事態であり、ユーザには、法第 23 条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない。

他方、法第 25 条において、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定している。法第 25 条に関するガイドライン 3-4-4 では、委託元である個人情報取扱事業者は、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、適切な委託先の選定、委託契約の締結及び委託先における個人データ取扱状況の把握について、必要かつ適切な措置を講じなければならないことが規定されている。

本件漏えい等事態発覚当時のエムケイ社のウェブサイトにおいては、本件サービスに関し、万全のデータセンターとセキュリティ管理をしている旨が記載され、また、漏えい対策についても万全の体制である等と記載されていた。本件において、ユーザの多くは、エムケイ社に対する個人データの取扱いの委託を行っていたとの認識が薄く、委託先の監督が結果的に不十分となっていた可能性がある。

(3) クライアント(ユーザの委託元)について

本件システムのユーザである社労士事務所に対して個人データの取扱いを委託していたクライアントも、個人情報取扱事業者として従業者の個人データを取り扱っていたところ、自らも法第 23 条が求める安全管理措置を講ずる義務を負うとともに、委託先である社労士事務所に対し、法第 25 条が求める委託先の監督義務を負う。

しかしながら、本件において、クライアントの多くは、社労士事務所に対して個人データの取扱いの委託及びエムケイ社に対する再委託を行っていたとの認識が薄く、委託先等への監督が結果的に不十分となっていた可能性がある。

(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25

年法律第 27 号。以下「番号法」という。)上の問題点について本件システムにおいてはマイナンバーも取り扱われていたが、電子申請時等にマイナンバーを入力しても、原則的にマイナンバーは保管されない仕組みであった。また、ユーザが、オプションサービスを利用する場合にマイナンバーが管理されることがあったが、その場合は、高度な暗号化による秘匿化がされた状態で保管されていたものと認められた。

したがって、エムケイ社に対し、番号法の規定による指導は行わないこととする。

5.当委員会の対応

(1) エムケイ社

エムケイ社は、本件を機にデータセンターにおける本件システムの提供を停止し、よりセキュリティが強化されている環境で本件システムを再構築し、サービスを再開した。しかしながら、本件システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及びエムケイ社の安全管理措置の不備が認められたことに鑑み、以下の対応を行う。

ア 法第 147 条の規定による指導

  • 法第 23 条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
  • 再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。

イ 法第 146 条第1項の規定による報告徴収

  • 法第 146 条第1項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和6年4月 26 日までに報告するよう求める。

(2) ユーザ及びクライアントについて

本件において、ユーザは、クライアントの従業員等の多数の個人データを取り扱っているところ、前述のとおり、ユーザ及びクライアントにおいて本件が個人データの取扱いの委託又は再委託を行っているとの認識が薄く、委託先等の監督が結果的に不十分となっていた可能性がある。

ユーザ及びクライアントの安全管理措置並びにエムケイ社に対する監督の実施状況は、個々のユーザ及びクライアントによって異なり得るため、実際にエムケイ社による個人データの取扱いがあったユーザ及びクライアントを中心に今後も継続して調査し、権限行使を含めた必要な対応を検討する。

(3) 注意喚起

今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、①クラウドサービスの利用が、法第 27 条第5項第1号に規定される「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する場合があること及び②①に該当する場合には、委託元は委託先に対する監督義務があることについて、注意喚起を実施することとする。