※トップ画像はイセトーのリリース文より
皆さんこんにちは。
プライバシーザムライ中康二です。
今回は、以前お伝えした印刷大手イセトーのランサムウェア攻撃被害に関する続報です。この事件では金融機関を含む多数の企業や自治体の個人情報が流出し、日本全体に大きな影響が広がりました。同社は、昨年9月にISMSの一時停止を受けました。
印刷大手イセトーのプライバシーマーク一時停止
2024年5月にランサムウェア被害が発覚した印刷大手・株式会社イセトー(京都市中京区)は、同年12月24日付でプライバシーマークの一時停止処分を受けました。この処分期間は3か月間とされ、その間に是正措置を講じることで認証の再開を目指すとしています。
これにより、イセトーはすでに一時停止措置を受けていたISMSに加え、プライバシーマークの一時停止という厳しい状況に直面しています。このケースは、ISMSとプライバシーマークを両方取得していた事業者が、大規模な情報漏えい事件を引き起こした場合のペナルティの典型的な例となりました。
「社労夢」運営元エムケイシステムのその後
イセトーの処分のニュースを聞き、私は以前報じられた「社労夢」運営元、株式会社エムケイシステム(大阪市北区)の動向が気になりました。同社も2023年6月に不正アクセスを受け、サービス停止や個人情報漏えいの可能性が報じられていました。
エムケイシステムもプライバシーマークを取得していたはずですが、一時停止などのニュースは一切ありませんでした。これは一体どういうことなのでしょうか?
調査したところ、エムケイシステムのプライバシーマークは事件直後の2023年7月に有効期限を迎えており、そのタイミングで同社は更新を行わず、プライバシーマークを返上していたことが判明しました。つまり、認証の有効期間中ではなく、更新前に返上することで、イセトーのような一時停止処分を受けずに済んだ可能性があります。
しかし同社はその後、次の一手を打ちました。なんとそれまで取得していなかったISMS(ISO27001)を新たに取得したのでした。2023年9月11日付でISMS認証取得を発表し、「情報セキュリティの管理体制が、国際標準規格『ISO/IEC 27001』に適合したものであることが第三者機関によって認められた」とリリースしました。この対応には「あれだけの事件を起こした直後にISMS認証取得とは、根本的な体制改善は十分行われたのか」という疑問を抱かざるを得ません。
もちろん、同社が今回の事件とは無関係に、2023年夏でプライバシーマークを返上し、代わりにISMS取得に向けて計画的に準備を進めていた可能性もありますが、こればかりは同社内部でしか分からないことだと思います。
日頃からのセキュリティ対策が鍵
イセトーもエムケイシステムも、大規模な情報漏えい事件を起こした結果、企業としての信頼性が大きく損なわれ、営業上の損失も被ったことは間違いありません。2024年3月には、個人情報保護委員会がエムケイシステムに指導を行いました。同様の指導がイセトーにも行われる可能性があります。
このような事件は避けられなければなりません。イセトーやエムケイシステムの経営陣も、時計を戻すことができるのであれば、もっとしっかりとした情報セキュリティ対策をしておけばよかったと考えておられることと思います。
やはり、何よりも日頃の情報セキュリティ対策が重要です。そして、それを実践するためのツールがプライバシーマークやISMSです。認証マークを取得することが重要なのではなく、取得にあたって社内体制を整備し、その後の運用を通じてセキュリティ対策の効果を上げることが最も大切なことだと考えています。それが私の言っている「本気のPマーク」「本気のISMS」の本質でもあります。
今回の両社のケースから得られる教訓は、いかに日常的なセキュリティ管理を徹底し、認証制度を運用の改善に活かすか、ということです。認証を取得しているだけでは十分ではなく、それを実効性ある仕組みとして活用することが企業に求められています。
イセトーのプライバシーマーク一時停止のリリース
https://www.iseto.co.jp/news/news_202412.html
エムケイシステムのISMS取得のリリース
https://www.mks.jp/company/topics/20230911a
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
