業務システム不正アクセスと個人情報流出のおそれについて(最終報告)
弊所顧問先企業様、過去に顧問契約があった企業様およびこれら企業様(以下、「顧問先企業様」という)の従業員または従業員であった皆様に向けてのお知らせとなります。
弊所の社会保険手続き業務および給与計算業務の一部で使用している株式会社エムケイシステム(以下、「エムケイシステム」という)の業務システム「社労夢」で外部から不正アクセスを受けていました。
皆様にはご不便、ご心配をおかけし誠に申し訳ございません。
以下に、これまでの経緯や今後の対応について書かせていただいておりますので、顧問先企業様はぜひご一読ください。
1.発生事象
2023年6月5日(月)未明、エムケイシステム情報ネットワーク内の複数のサーバがサイバー攻撃を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、エムケイシステムサービスの対象である約3,400ユーザーの大半に対して正常にサービスを提供できない状況となり、再構築を余儀なくされる事態となりました。
2.本事案の対応経緯
2023年6月5日(月)未明、エムケイシステム担当者が弊社のデータセンターで稼働するサーバへアクセスできないことからシステム異常を認知しました。事象を認知した後、エムケイシステム担当者がデータセンターへ入館し状況を確認した結果、エムケイシステムサービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対処を行いました。
3.フォレンジック調査により判明した事実
・外部の第三者による侵入経路の特定
・不正アクセスの影響を受けたサーバ 機器の特定
・侵害状況及び 流出の 恐れがある 情報範囲の特定
4.情報漏洩の有無について
調査の結果、本事案がランサムウェアによる侵害であることから、何らかのデータが攻撃者によって窃取された可能性は完全には否定できませんが、情報窃取及びデータの外部転送等に関する痕跡は確認されませんでした。また、現時点において、エムケイシステムの情報がダークウェブ等に掲載されていないか調査を実施してきましたが、関連する情報の掲載や公開は確認されませんでした。以上、調査の結果、情報漏洩の事実が確認されていないことをご報告申し上げます。
なお、個人情報に関する顧問先及び一般企業の従業員の方からのお問い合わせにつきましては、2023年8月31日までに、メイトー社会保険労務士事務所へお問い合わせください。エムケイシステムの【個人情報に関する個人の方(本人)のお問い合わせ先】をお教えいたします。
5.個人情報保護委員会への確報の連名報告について
7月21日(金)にエムケイシステムより、個人情報保護委員会への確報の連絡がございましたので、メイトー社会保険労務士事務所にて個人情報保護委員会に確報を完了しておりますこと、ご報告させていただきます。
本来はご周知のとおり「個人情報取扱事業者」とは事務手続きや給与計算をご依頼いただいている顧問先企業様も含まれており、個人情報取扱事業者は、本件において法第26条第1項(委員会への報告)と同第2項(本人への報告)を実施していただかなければなりませんが顧問先企業様の委員会への報告は、弊事務所の委員会への報告時に連名で実施することにより免除されることが認められております(ガイドライン 3-5-3-2 )。
7月28日(金)までに、連名での報告を希望のご連絡をいただきました企業の皆さまは、確報として報告させていただきました。
ご迷惑をおかけいたしますがよろしくお願いいたします。
メイトー社会保険労務士事務所 代表 加藤秀幸
Comments