1. ランサムウェア攻撃の概要
イセトーは自治体や民間企業から業務を受託し、請求書や納税通知書、その他の公式文書の印刷を手がけています。しかし、2024年に入ってランサムウェア攻撃を受けたことにより、徳島県や和歌山市などの複数の自治体、さらにはクボタクレジットなどの企業から委託された印刷用データが不正にアクセスされ、大規模な情報漏洩に至りました。この漏洩情報には、氏名、住所、納税額、登録番号、口座情報など、非常に個人のプライバシーに深く関わる情報が含まれていました【45†source】。
イセトーが受けたランサムウェア攻撃では、ファイルサーバーがウイルスに感染し、内部の顧客情報が暗号化され、外部に流出するという手口が使われました。ランサムウェア攻撃は、悪意のある第三者が被害者のシステムを暗号化し、復号化のための身代金を要求する攻撃手法であり、これにより多くの企業や自治体が重要な情報を失うリスクに晒されています。
2. 被害の範囲と内容
イセトーが受託していた情報は、日本国内の複数の自治体や企業から委託されたもので、被害に遭った個人情報は非常に多岐にわたります。例えば、以下のような情報が漏洩しました。
- 徳島県:令和5年度自動車税の印刷データや令和4年度減免自動車の現況報告書に関する情報が漏洩し、約14万5000人分の情報が流出しました。これには、氏名、住所、税額、登録番号(車のナンバー)などが含まれています。
- 和歌山市:令和5年度市・県民税特別徴収税額決定通知書の封入封緘業務の委託において、サイバー攻撃により15万1421件の情報が漏洩しました。流出したデータには、住所、氏名、課税情報が含まれています【45†source】。
- クボタクレジット:利用明細や請求書印刷用データが漏洩し、6万1424人に影響が及びました。このデータには、氏名、住所、請求情報(商品名、金額、支払い回数)、引落口座情報(一部が伏字処理された状態)などが含まれていました。
3. 情報管理における問題点
今回のランサムウェア攻撃が大規模な被害をもたらした背景には、イセトーによる情報管理の不備が指摘されています。本来、委託先であるイセトー社では、印刷用の個人情報は作業終了後に速やかに消去し、厳重にセキュリティ対策を行ったネットワーク内のみで使用するべきでした。しかし、情報は通常業務用のネットワークに保存されたままであり、不正アクセスにより外部に漏洩する結果となりました。
具体的には、個人情報を保存するネットワークと通常業務用のネットワークを分離するという基本的なセキュリティ対策が不徹底であったことが原因とされており、この点については今後、再発防止策として重点的に見直される必要があります。また、データ消去の徹底を怠った結果、攻撃を受けたときに大量の個人情報が流出してしまうという事態を招いたことも大きな問題です。
4. 再発防止策
今回の事件を受けて、イセトーは委託先の企業や自治体とともに再発防止策を検討し、以下のような対策を講じています。
- ネットワーク分離の徹底:個人情報を保存するネットワークと通常業務用のネットワークを完全に分離し、重要なデータが外部からアクセスされるリスクを最小限に抑えることを目指しています。
- データ消去の手順の遵守:印刷業務終了後のデータ消去を徹底し、データの取り扱いについて厳格に監視する体制を構築します。これにより、データが必要以上に長期間保存されることを防ぎます。
- 契約条項の見直し:委託元と新たに契約条項を変更し、セキュリティ対策が確実に実行されるように契約上の義務として盛り込み、遵守状況を定期的に確認する取り組みを開始しました【45†source】。
5. 社会的影響と反応
この事件は、多くの自治体や企業がイセトーに印刷業務を委託していたことから、全国規模で影響を及ぼしました。多くの自治体が公式サイトで情報漏洩について公表し、市民に対して注意喚起を行いました。また、被害を受けた個人に対しては、個別に通知が行われるとともに、今後の個人情報の管理についての説明も行われています。
