プライバシーザムライ

プライバシーザムライ 中 康二です（オプティマ・ソリューションズ株式会社 代表取締役）。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護／情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像は個人情報保護委員会のリリース表紙です。

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止した件は、昨年大きな話題になりました。私は「もしかしたら1000万人分のマイナンバーが危険にさらされている可能性があるかも」との危惧を感じて注目し、Blogやメルマガで情報発信してきましたし、実際に自社で影響を受けた方も多いことと思います。

今回の事件に対して、個人情報保護委員会（PPC）は、運営元の株式会社エムケイシステム（以下、エムケイ社とします）に対して、個人情報保護法に基づいて指導を行ったと3月25日付で発表しました。

ここで今回も登場する組織と人物を整理しておきたいと思います。

（A）エムケイシステム社（システムの開発・運用元）
（B）全国の社会保険労務士（Aと契約し、システムを利用）　
（C）Bの顧客事業者（Bと顧問契約を結び、システムを利用）
（D）Cの社員とその家族（個人情報、マイナンバーの本人）　

今回、不正アクセスを受けたシステムは、エムケイ社（A）が開発・運用していました。全国の社労士（B）は（A）と契約してシステムを利用していました。全国の事業者（C）の多くは、（B）とのみ契約を結んでおり、（B）と（A）の契約に乗っかる形でシステムを利用していました。社員である（D）は勤務先である（C）の指示に従ってシステムを利用していました。

エムケイ社（A）のWebサイトによると、「社労夢」には全国で約2,400の社労士事務所（B）が契約しており、（B)と顧問契約を結んでいる顧客事業者（C)は全国で約57万社にわたり、その社員（D）約830万人分の個人データが管理されているとのことです。また、今回のPPC資料によると、（D）の個人情報の総数は家族を合わせると約2242万人にわたるとのことでした。万が一、これらのマイナンバーを含む個人データが漏えいし、実際の被害が発生するような事態に発展した場合には、マイナンバー制度の根幹が揺るがされる可能性すらはらんでいました。

今回のPPCによる指導のポイントをまとめると下記の３点になります。

（１）エムケイ社は保守用IDでデータアクセスできた＝個人情報の取扱いの委託先である

クラウドサービスの利用においては、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなって」おり、「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」には、「個人情報を提供していることにならず、すなわち委託先ともならない」と整理されます。

今回、エムケイ社（A）は保守用IDを利用することで、（B）または（C）が登録した個人データにアクセス可能であり、取得を防止するための技術的な措置も取られていなかったとのことです。このため今回のシステムの利用においては、このクラウドサービスの特例には当たらず、（B）が（A）に個人データを提供し、個人情報の取扱いの委託が行われていたと認識されました。

したがって、社労士事務所（B）に委託先の監督の責任が発生することになりました。しかし、PPCとしては、今回（B）に対する指導を行わないとしました（全国の社労士から2459件の事故報告が提出されたそうです）。また事業者（C）にも社労士事務所（B)に対する委託先の監督責任が発生しますが、こちらも指導の対象にはしないこととし、注意喚起のみに留めることにしたようです。

（２）エムケイ社には安全管理義務の不備があった

PPCは、これまでに行った調査の結果、エムケイ社には下記のような安全管理義務の不備があったとし、今回改善指導を行うこととしました。

・ユーザのパスワードルールが脆弱であった
・管理者権限のパスワードも脆弱であり類推可能であった
・ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていた
・ログの保管、管理及び監視が不十分で、不正アクセスを迅速に検知できなかった

（３）今のところ二次被害はなく、マイナンバーの漏えいもなかった

PPCのリリースでは、エムケイ社からの報告として「現時点において、個人データの悪用などの二次被害は確認されていない」とされました。

また、本システムにおいてはマイナンバーも取り扱われていたものの、原則的に本システム上に保管されない仕組みであった。また別の専用オプションサービスではマイナンバーを保管していたものの、こちらは高度な暗号化による秘匿化がされいたとのことで、PPCとしてはマイナンバー法に関する指導は行わないとされました。

もし、マイナンバーの漏えいが起こっていたとすると、マイナンバー法には再委託先の監督義務がありますから、（C)にも再委託先の監督責任が発生したと思われます。

株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について（PPC）
https://www.ppc.go.jp/news/press/2023/240325_houdou/

(過去記事)
社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を正式発表
https://www.pmarknews.info/accident/52174713.html
社労士向けクラウド「社労夢」がサービス再開～情報流出はなかったらしい～
https://www.pmarknews.info/accident/52174005.html
社労士向けクラウド「社労夢」不正アクセス事件の続報～1000万人マイナンバーは無事と弁明～
https://www.pmarknews.info/accident/52173440.html
社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害～1000万人マイナンバーは無事か？～
https://www.pmarknews.info/accident/52173171.html

なお、同社は本不正アクセスの被害により、サービスを停止した期間の請求を停止した影響で約1億円程度の売上減少があった他に、ウイルス感染したデータセンター一式を撤去したことによる固定資産除却損1億2500万円、システム障害対策費用（外部専門機関への調査委託費用、インフラ設備の再構築費用、セキュリティ強化のための費用など）として約1億円の特別損失を計上しています。単純に合算して3億円以上の被害となりますし、それ以上に同社が被った企業イメージの損失はかなり大きなものになったと思います。
https://contents.xj-storage.jp/xcontents/AS97180/c20c0fbb/9364/49cc/adeb/f95c548a9a2a/S100SQDB.pdf

この内容が皆さんにとって何かの参考になればと思います。

今後も新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。