個人情報保護委員会が307万人超の個人情報漏洩でイセトーを行政指導、再発防止求める

政府の個人情報保護委員会は、不正アクセスで307万6477人の個人情報を流出した情報処理サービスのイセトーを行政指導したと3月19日に発表した。セキュリティ対策が不十分で、再発防止策の確実な実施を指示した。VPN(仮想専用線)機器のアップデートや、パスワード管理の強化、組織体制の整備を求めた。特に従業者に対する教育とともに、個人データの適正な取扱いを徹底するよう求めている。事案の大きさから詳細を公表した。

イセトーは金融機関や地方公共団体から委託された個人データの印刷・発送業務をしている。2024年5月26日に第三者からサーバーに不正アクセスを受け、個人データがランサムウェアで暗号化されてダークウェブ上に公開された。氏名や住所のほか、確定拠出年金やローン残高、納税額も流出した。影響は約100団体と大規模で地方公共団体もあり、税関係や健康保険組合のデータなど個人の財産や健康に関する情報が含まれている。

VPN機器のアップデートを約3年間行わず、パスワード管理も不十分で基幹系ネットワークの管理者アカウントは約7年間同じ。推測が容易な英小文字11桁だった。個人データの保管ルールが明文化されず、業務系ネットワークで個人データを保管するルールがあったが守らず、基幹系ネットワークのサーバーに個人データをコピーしていた。このため基幹系ネットに侵入された際に、本来そこに存在しないはずの個人データが漏洩した。