イセトーから6万件情報流出したクボタクレジット「当面の委託は継続」 再発防止策は
クボタクレジットが、委託先のイセトーから顧客情報が漏えいした問題について、再発防止策を講じ、安全性を確認した上で「当面の業務委託を継続する」と発表した。
クボタ子会社で信販事業を手掛けるクボタクレジットは9月9日、委託先のイセトーから顧客約6万件の個人情報が漏えいした問題をめぐり、再発防止策を講じて安全性を確認した上で「当面の業務委託を継続する」と発表した。
再発防止策は、(1)イセトーが、個人情報を保存するネットワークと通常業務用のネットワークを完全に分離した運用を徹底する、(2)個人情報データの消去など業務手順をイセトーが確実に守るよう契約を変更し、順守状況を定期的に確認する――という内容。
対策の有効性を検証し、委託先の変更も含めて引き続き検討する。
イセトーは、ランサムウェア攻撃を受けて顧客情報が大量流出。クボタクレジットの情報も含まれており、2022年9月度の利用明細・請求書印刷用データで、顧客の氏名、住所、利用・請求明細、引落口座の金融機関名・名義・数ケタを伏字に加工した口座番号などが流出した。
イセトーは本来、業務情報をセキュリティ対策されたネットワーク内だけで使い、作業終了後にすぐ消去する決まりだったが、漏えい時はデータを消去しておらず、個人情報を扱ってはいけない通常業務用のネットワークに保存していたため、不正アクセスで情報が窃取されたという。
この原因をふまえてクボタクレジットは、対策を行った上で当面の業務委託は継続する。また、クボタグループとして、個人情報を扱う委託先について、審査を強化する他、契約内容に、契約違反時の損害賠償請求などの条項追加、委託先の情報管理の監査の実施などを行う。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「クボタクレジット」顧客情報約6万人分漏えい 委託先がランサム被害
クボタクレジットの顧客約6万人分の個人情報が漏えい。利用明細印刷を委託している企業のサーバがランサムウエア被害にあったことが原因。
イセトー、セキュリティのISO認証一時停止に ランサムウェア攻撃の被害受け
イセトーは、サイバーセキュリティに関する認証「ISO27001」「ISO27017」が、審査機関によって一時停止になったと発表した。同社は5月下旬、ランサムウェア攻撃の被害を発表。以降、同社に事業を委託していた自治体や企業が続々と、イセトーに委託していた業務に関する情報漏えいの可能性を発表している。