“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。
8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。
その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年10月〜2023年7月までに実施したPマーク審査の関連資料と、05〜11年まで協会と契約していた審査員名簿などが少なくとも20年7月〜23年8月までネット上で閲覧可能な状態となっていた。この期間中、少なくとも3種類のランサムウェア攻撃を受け、暗号化されたファイルがあることも確認したという。
審査関連情報には、一部担当者のメールアドレスが少なくとも3500件分の他、事業者名や所在地、電話番号なども含まれていた。なお、銀行口座番号やクレジットカード番号などは含まれていなかったという。審査員名簿には、JIPDEC642人、日本印刷産業連合会27人の氏名やメールアドレス、電話番号、住所といった情報が含まれていた。銀行口座番号やカード番号などは含んでいなかった。
JIPDECでは事前許可を取れば、個人所有PCでのPマーク審査の一部業務を行うことを認めていた。申請の際には、PCの機種やOSのバージョン、ウイルス対策などの作業環境を報告させていたが、該当審査員は届けていない機器を複数使っていた。今回の件の発覚後、該当審査員への審査業務の委託を停止し、11月9日付で審査員資格を取り消した。
JIPDECは「多大なご迷惑とご心配をおかけしておりますことを深くおわび申し上げます」「Pマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります」と謝罪。
再発防止として、全審査員の個人PCで関連資料を保管していないことを確認し、保管している資料があれば廃棄するように指示。個人PCでの審査業務を全面禁止した。今後は貸与したPCのみで審査業務を行い、貸与PCの監視・点検を行う。
関連記事
個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載
個人情報保護委員会から個人情報の漏えいが発生。漏えいしたのは、同事務局が募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先。行政情報の総合窓口サイト「e-Gov」に個人情報入りのPDFファイルを誤掲載していた。
doda、個人ユーザー約10万人の情報が元勤務先から丸見えだった可能性 ブロック機能が「全角半角・大文字小文字が完全一致」でないと動かず
転職サイト「doda」に不具合があり、個人ユーザー9万6338人の個人情報などが、本来権限がないはずの法人ユーザーでも確認可能になっていた可能性があると、パーソルキャリアが発表した。過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったという。
「nanaco」コールセンターで顧客の電子マネー残高を詐取、NTTネクシア元社員
NTTネクシアは2日、「nanacoお問い合わせセンター」業務において、元社員が一部顧客の情報を不正に利用し、残高を私的に詐取していたと公表した。
ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分
ビッグモーターは30日、自社Webサイトが第三者による不正アクセスを受け、「お問い合わせフォーム」から同社に連絡していた人達の個人情報の一部が漏えいした可能性があると発表した。
共同通信に不正アクセス 社員情報約4000人分が漏えいした可能性
共同通信が、サーバ機器に不正アクセスを受け、同社やグループ企業の社員4313人分の個人情報が漏えいした可能性があると発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。