- 元記事:【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)
- 元記事:プライバシーマーク審査関連資料の漏えいについて
- HP:日本情報経済社会推進協会(JIPDEC)
- HP:プライバシーマーク制度
| 会社名 | 日本情報経済社会推進協会(JIPDEC) |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 住所/氏名/メールアドレス/電話番号/事業者所在地/住所事業者名 |
| 漏洩件数 | 最大888社/約4,169件 |
| 漏洩日時 | 2020/7~2023/8/8までの期間 |
| 発表日時 | 2023/11/13 |
日本情報経済社会推進協会(JIPDEC)が運営するプライバシーマーク制度にて審査関連資料が外部に流出。同協会が運営するプライバシーマーク制度の審査員が個人所有のパソコンにて審査業務を行った後に、本来廃棄すべき資料を外部記憶媒体に保存しており、その後当該情報が外部に流出した。これを受け同協会は調査を行なっており、流出の経緯や事実関係、再発防止策などを公表した。
同社によると、過去にプライバシーマークを取得した事業者から、自社のプライバシーマークの審査関連資料と思われるファイルがインターネット上で閲覧可能状態となっている旨の連絡が同協会にあったため、同協会にて調査を行なったところ、流出した資料は当該審査員が作成したものであることが発覚。直ちに情報流出の元になったと思われるパソコンと周辺機器をネットワークから隔離した。
その後外部専門調査機関と連携し、デジタルフォレンジック調査を行なったところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料や2005年から2011年まで契約していた審査員名簿、当該審査員が同協会の他に受託していた一般社団法人日本印刷産業連合会の審査業務の関連資料が閲覧可能状態であることが発覚。さらに、その期間中に3種類のランサムウェア攻撃を受け、ファイルが暗号化されていたことも判明した。
同協会では事前に許可した場合には審査員が自宅にて個人所有のPCでプライバシーマークの審査業務の一部の業務を認めており、許可申請には事前にパソコンの機種やOSのバージョン、ウィルス対策など作業環境に関する情報の提出及び作業終了後の審査関連資料の廃棄を定めていたが、当該審査員は許可申請をしていない機器を複数使用し、さらに作業終了後も関連資料を保管しており、申請と異なる状況で作業を行っていた。その状況下にて今回ファイルサーバーへの適切なセキュリティ対策が施されておらず、情報が外部に流出した。現時点では審査関連資料や審査員名簿の不正利用などは確認されていない。なお、銀行口座番号やクレジットカード番号などの情報は含まれていない。今回の件発覚後、当該審査員の審査業務委託を停止し、審査員資格を取り消した。
再発防止策として、全審査員に個人所有のパソコンに審査関連資料を保管していないかを確認し、もし保管している場合には廃棄するよう指示するとともに、個人所有のパソコンでの審査作業を全面禁止した。また、審査員に審査関連資料の適切な取扱いを改めて周知徹底するほか、貸与パソコンの取扱状況の監視・点検を行うとしている。