エムケイシステムへ個人情報保護法にもとづく指導　個人情報保護委員会

エムケイシステムのランサムウェア被害の経緯

　個人情報保護委員会の公式サイトやこれまでの取材によると、エムケイシステムで起きたランサムウェア被害は以下の通りです。

　2023年６月、エムケイシステムのサーバが不正アクセスを受け、ランサムウェアにより、「社労夢」など、社会保険/人事労務業務支援システム上で管理されていた個人データが暗号化され、漏えいなどのおそれが発生しました。

　主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものであり、社労士の顧客である企業や事業所等の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等の個人データを取り扱っていました。

　エムケイシステムは、個人データの悪用などの二次被害は確認されていないと説明しています。社労士向けの業務システムの利用実績は以下の通りです。

• 社労士事務所：2754事業所
• 管理事業所：約57万事業所 (2023年4月1日時点)
• システムで管理する人数：最大約2242万人(2023年6月5日時点)

　このうち、個人情報保護委員会が受領した漏えい等報告件数は、報告者ベースで3067件（計749万6080人）だといいます。大部分は社労士事務所からの提出であり、顧問先事業者との連名報告の形での報告が多かったそうです。

• （経緯を解説）「社労夢」のエムケイシステムにランサムウェア被害

個人情報保護委員会、エムケイ社に指導

　エムケイシステムは、今回の問題をきっかけに、データセンターにおけるシステムの提供を停止し、よりセキュリティが強化されている環境でシステムを再構築し、サービスを再開したといいます。

　しかし、個人情報保護委員会は「システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及びエムケイ社の安全管理措置の不備が認められたことに鑑み、以下の対応を行う」と公表しました。

個人情報保護法147条の規定による指導

• 法23条及びガイドラインにもとづき、必要かつ適切な措置を講ずること
• 再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること

個人情報保護法146条第１項の規定による報告徴収

法146条第１項の規定により、再発防止策の実施状況について、関係資料を提出の上、2024年４月26日までに報告するよう求める

個人情報保護委員会が問題視した不備

　「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ7-53 には「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」とあります。

　個人情報保護委員会は、エムケイシステムに対し「個人データを取り扱わないこととなっている場合」とはいえず、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったと指摘。そのうえで、個人情報取扱事業者としてユーザから個人データの取り扱いの委託を受けて個人データを取り扱っていたといえると、個人情報保護委員会は判断しています。

　さらに、エムケイシステムの体制について「技術的安全管理措置に不備が認められる」と指摘しています。具体的には以下の通りです。

　個人情報保護法23条や、個人情報の保護に関する法律についてのガイドライン（通則編）により、個人情報は適切に管理しなければなりません。

　しかし、エムケイシステムには、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があったといいます。

　また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があったと指摘しています。

• マルウェア感染や個人情報漏洩…サイバー攻撃による損害費用はいくら？