「社労夢」など社会保険労務士の業務を支援するシステムをクラウドで提供している「エムケイシステム」がランサムウェアによる被害を受け、個人情報漏洩の恐れが出ています。そのため、サービスを利用していた全国の社会保険労務士事務所や、委託元の中小企業は、個人情報保護法にもとづき個人情報保護委員会への報告や本人への通知などが必要となっています。「社労夢」は2023年4月時点で管理事業所数は約57万事業所、管理する在職者は約826万人に上り、各社の業務に影響が出る見込みです。
目次
エムケイシステムの公式サイトによると、エムケイシステム(本社:大阪市)は1989 年設立。社会保険労務士事務所・労働保険事務組合・一般企業向けに人事労務システム開発及びクラウドサービスを提供しています。
主な取引先として、全国の社会保険労務士事務所・社会保険労務士法人、全国の労働保険事務組合、中小企業福祉事業団、SR経営労務センター、一般大手企業を挙げています。
エムケイシステムの発表によると、6月5日早朝にランサムウェアによる第三者からの不正アクセスがあり、サーバーの暗号化の被害を確認し、外部専門家を交え原因の特定、被害情報の確認、情報流出の有無などの調査に着手したといいます。
影響を受けている製品は下記の通りです。
同社の公式サイトによると、「社労夢」は2023年4月1日時点で2754の社労士事務所が導入。管理事業所数は約57万事業所、管理する在職者は約826万人に上るといいます。サービス復旧に向けて、従来のインターネットデータセンター上だけではなく、並行してオンプレミス(on-premises)版や、Amazon Web Services(AWS)上での構築を進めています。
影響を受けたユーザーに対して、利用料の6月請求分は停止する予定といいます。
↓ここから続き
このなかで、エムケイシステムは「現時点で情報流出の事実は確認しておりませんが、流出の恐れの可能性を考慮し、6月8日に個人情報保護委員会への報告を完了しております」と説明しています。
この個人情報保護委員会への報告義務は、エムケイシステムだけでなくサービスと利用していた社労士や、その社労士に従業員の個人情報管理を委託していた中小企業も対応する必要があるので注意が必要です。
讀賣テレビ放送やSTORES、東急ウェルネスなどエムケイシステムのサービスを利用していた、または利用していた社労士事務所に社保業務などを委託していた複数の企業が、自社サイトで相次ぎ従業員やアルバイトのマイナンバーを含む個人情報が漏洩したおそれがあると公表しています。
一方のエムケイシステムは、東京新聞の報道に抗議するお知らせ文のなかで「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。当社においては、6月9日に発表している通り現時点では情報流出の事実は確認しておりません」と否定しています。
ただし、この「完全に暗号化されている」仕組みについてエムケイシステムから詳細な説明はなく、利用企業などが対外的に説明している内容と矛盾が生じた状態となっています。
7月19日に公表した調査結果報告でも「何らかのデータが攻撃者によって窃取された可能性は完全には否定できませんが、情報窃取及びデータの外部転送等に関する痕跡は確認されませんでした。また、現時点において、当社情報がダークウェブ等に掲載されていないか調査を実施してきましたが、当社情報の掲載や公開は確認されませんでした」と説明しています。
個人情報保護法は2022年4月1日に改正され、これまで、努力義務とされていた漏洩等発生時の報告を、一定の場合に義務化するとともに、本人に対して通知を行うことを新たに義務付けました。
具体的には、①質的に侵害のおそれが大きい類型(要配慮個人情報や財産的被害が発生しうるおそれがある個人データが漏えいするケース)と、②量的に侵害のおそれが大きい類型(漏えい等した個人データに係る本人の数が1000人を超えるようなケース)が報告等義務の対象となります。
個人情報保護委員会への報告や本人通知を怠った場合には、勧告や命令を受ける可能性があり、命令に違反した場合には、企業名の公表や、罰則を受ける場合もあります。
今回のエムケイシステムのランサムウェア被害でも、個人情報漏洩のおそれがあるため、原則としてエムケイシステムだけでなく、クラウドサービスを利用していた社労士事務所や、社労士に業務委託していた中小企業も、個人情報保護委員会への報告や従業員などへの通知が必要になります。
個人情報の保護に関する法律施行規則によると、次の項目を報告する必要があります。
具体的には、個人情報保護委員会の公式サイトに対応窓口や報告用のフォームが掲載されています。
サービスを利用していた社労士によると、エムケイシステムから「サービス利用者である社労士事務所が報告義務を負わなくていいように個人情報保護委員会への働きかけをしている」との連絡があったといいます。
エムケイシステムの見解の是非について、12日に個人情報保護委員会に確認したところ、個別の案件については回答できないとしたうえで、一般論として個人情報の保護に関する法律についてのガイドライン(通則編)をもとに「委託元が報告義務を免除されることはない」と回答しました。
3-5-3-2 報告義務の主体
漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。 個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。
個人情報の保護に関する法律についてのガイドライン(通則編)
この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(3-5-3-5(委託元への通知による例外)参照)。
また、委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになる。
エムケイシステムは12日夜になってユーザー向けに「報告が免除される可能性」について完全に誤った認識だったとして混乱を招いたことを謝罪しました。
中小企業が対応する場合は、上記ガイドラインの通り、一緒に対応できないか社労士と相談しながら進めるとよいでしょう。東京都社会保険労務士会はTwitterで、社労士に対し、顧問企業と連名で報告するときは、事前に連絡し、承諾を得るよう呼び掛けています。
個人情報保護委員会の公式サイトによると、個人情報の漏洩に遭った(可能性のある)本人への通知方法として、速やかに、 概要、個人データの項目、原因などの内容を本人にとって分かりやすい方法で行うことを求めています。
通知の方法の例として、文書の郵送や電子メールの送信を挙げていますが、本人への通知が困難な場合は、ホームページでの公表や、問合せ窓口の設置も案内しています。
(続きは会員登録で読めます)
ツギノジダイに会員登録をすると、記事全文をお読みいただけます。
おすすめ記事をまとめたメールマガジンも受信できます。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
