1.本事案の概要(2024 年 7 月 5 日公表済)
(1) 漏えいしたデータの種類
2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ
(2) 含まれる個人情報
氏名
※なお、ダイレクトメール自体の内容の漏えいはありません。
(3)対象件数
69,403 件(委託元信用金庫が公表した名寄せ後件数合計) ※延べ 77,202 件
2.個人情報漏えいの原因と再発防止策の概要
イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。
上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでいるほか、特別調査委員会を設置して調査結果の検証等を進めています。
① ランサムウェア侵害に関する再発防止策
- いわゆる「ゼロトラスト」を前提とした体制への移行(VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築)等
② データ保管に関しての再発防止策
- 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理(認証強化)
- 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認
③ 社員の意識に関する再発防止策
- 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施
- 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続
④ 内部統制を管轄する部門の創設
- 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等
当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。
なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。
① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること
② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること
③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること
④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること
今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。
3.委託先管理にかかる今後の当社対応
当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。
また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント(CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。
更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。
現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。