目次

  1. イセトーとは
  2. イセトーでランサムウェア被害 個人情報が漏洩
  3. 個人情報の漏洩が確認された・漏洩の可能性がある委託元一覧
    1. 愛知県豊田市
    2. 徳島県
    3. 和歌山市
    4. クボタクレジット
    5. 東海信金ビジネス
    6. 京都商工会議所
    7. パナソニック健康保険組合
    8. マニュライフ生命
    9. 日本生命
    10. 神奈川県平塚市
    11. 京都市
    12. 広島県
    13. 愛媛県
    14. 東京都大田区
    15. 東京都教育委員会
    16. 吉備信用金庫
    17. 備前日生信用金庫
    18. 西京信用金庫
    19. 公文教育研究会
    20. 三菱UFJ信託銀行
    21. 三井住友海上あいおい生命
    22. 伊予銀行

 イセトーの公式サイトによると、イセトーは1855年(安政2年)、初代藤七が京都市三条通西洞院西入に和洋紙の卸小売を行う「伊勢屋商店」を創業。通称伊勢屋藤七、略して「伊勢藤」と呼ばれ現在の社名の由来となったといいます。

 1923年(大正12年)、巻取紙加工を開始。1953年(昭和28年)からは国内初のビジネスフォーム(コンピュータ用連続用紙)の製造に成功しました。

 1979年(昭和54年)からは情報処理サービスを中心とするアウトソーシング業務へ業務を転換しました。その後も情報セキュリティなどに取り組み、2015年からはデジタルソリューション事業への変革を進めています。

 主な取引先として、都市銀行、信託銀行、地方銀行、労働金庫、信用金庫、生命保険、損害保険、地方公共団体、政府機関、クレジットカード会社、リース会社、電力・ガス・CATV会社など3000社に上るといいます。

 イセトーの公式サイトによると、2024年5月26日、当社の複数のサーバー、PCが暗号化されるランサムウェアによる被害が発生していることを確認したといいます。

 6月18日になって、攻撃者グループのリークサイトにおいて、窃取されたと思われる情報のダウンロードURLの出現を確認したといいます。7月3日時点では、ダウンロードファイルは消失しており、ダウンロードができない状態となっているといいます。

 不正アクセスの原因について「VPNからの不正アクセスにより当社ネットワークに侵入した攻撃者によって、一部のお取引先様の受託業務の作業工程で発生した帳票データや検証物の一部の情報が窃取されました。当該情報を取り扱ってはならないサーバに作業の効率を図るため便宜的に保管し、また業務終了後には速やかに削除すべきデータを削除することができておりませんでした」と説明しています。

 また、イセトーは2024年9月2日、情報漏洩の結果、情報セキュリティマネジメントシステム認証(ISO27001認証)及びクラウドセキュリティ認証(ISO27017認証)を一時停止する旨の通知を受けたと発表しました。

 12月に指定されている特別審査を再度受審し、一時認証停止の早期解除に向けて対応する予定です。

 流出した個人情報を含むダウンロードファイルは2024年10月4日時点で消失しており、ダウンロードができないことを確認したと説明しています。

 個人情報の漏洩は、全国各地の企業・自治体に広がっています。イセトー経由で個人情報の漏洩が確認された、または漏洩の可能性がある企業・自治体は以下の通りです(順次更新します)。

 このほか、地銀や保険会社を中心に、イセトー経由と明言せずに、個人情報の漏洩や業務の遅延について公表している企業も複数あります。

 愛知県豊田市の公式サイトによると、14万8620人分の個人情報が漏洩したといいます。データには、住所、氏名、生年月日、税額、所得、控除、口座番号、保険料額、接種歴等が含まれていました。

 徳島県の公式サイトによると、令和5年度自動車税の印刷データや令和4年度減免自動車の現況報告書など約14万5000人(約20万件)の個人情報の漏えいが確認されたといいます。

 データには、氏名、住所、税額、登録番号(車のナンバー)が含まれているといいます。

 和歌山市の公式サイトによると、「令和5年度市・県民税特別徴収税額決定通知書」の封入封緘業務を委託していたイセトーから、サイバー攻撃によりファイルサーバーがコンピューターウイルスに感染し、15万1421件の情報が窃取されたと報告があったことを公表しました。

 流出した個人情報には、住所、氏名、課税情報が含まれていたといいます。

 クボタグループの信販会社クボタクレジットの発表資料によると、2022年9月度の利用明細·請求書印刷用データに含まれる氏名、住所、利用·請求明細(商品名、金額、支払回数等)、引落口座情報の一部(金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号)などが漏洩したといいます。

 個人のほか、法人や団体等の名義のものも含めて6万1424人に上るといいます。

 本来、イセトー社に預けた印刷用の個人情報は、印刷作業用に厳重にセキュリティ対策を行った ネットワーク内のみで使用され、イセトーは作業終了後に速やかに消去する決まりとなっていました。

 しかし、印刷作業をするためにイセトー社が作成した個人情報のデータが消去されて いなかったうえ、個人情報を取り扱ってはならない通常業務用のネットワーク上に保存されていたため、 不正にアクセスされて個人情報が窃取される結果となりました。

 クボタクレジットはイセトー社との間で以下の対策を行い、個人情報の取り扱いに関する安全性を確認したうえで当面の業務委託を継続する予定です。

  1. 個人情報を保存するネットワークと、それ以外の通常業務用のネットワークを完全に分離した運用の徹底
  2. データ消去等の業務手順を確実に遵守させるための契約条項の変更と遵守状況の定期的な確認

 今後の業務委託については、イセトー社が講じる再発防止策の有効性を検証し、委託先の変更も含め引き続き検討する予定だといいます。

 静岡県、岐阜県、愛知県、三重県に本店を有する信用金庫全34金庫信金の業務の一部を手がける「東海信金ビジネス」の発表資料によると、東海3県と静岡県にある計26の信用金庫の顧客氏名、延べ約7.7万人分の個人情報が漏洩したといいます。

 データには、2023年9月時点のダイレクトメール作成時に出力されるログデータ上の氏名が含まれていたといいます。多くの信金は、それぞれの公式サイトで漏洩について公表しています。

 たとえば、東濃信用金庫の公表資料によると、ダイレクトメール作成時に出力されるログデータ上の氏名5008件が漏洩したといいます。大垣西濃信用金庫の公表資料によると、ダイレクトメール作成時に出力されるログデータ上の氏名が延べ3879件漏洩したといいます。

 京都商工会議所の公式サイトによると、2022年度1号議員選挙にかかるデータや、2022年度下期会費請求にかかるデータの情報漏洩が確認されたといいます。

 流出したデータには、4.1万人に上り、会社名・屋号、登録された代表者役職、代表者氏名などが含まれていたといいます。

 パナソニック健康保険組合の発表資料によると、2022年6月30日に委託業者に提供した「ジェネリック差額通知データ情報」(住所、被保険者名、受診者名、保険証番号、事業所名、診療年月、医療機関名・調剤薬局名、医薬品名、自己負担額)1万3150人分の漏洩が発覚したといいます。

 マニュライフ生命の公式サイトによると、2022年9月末から10月初旬に、電子申込で委託先にデータを連携した契約の一部(1082件)が漏洩したといいます。

 データには、氏名、生年月日、住所、電話番号、申込番号、Eメールアドレス、預金口座情報(口座番号の下3桁は「***」表示)、年収情報などが含まれていたといいます。

 日本生命の発表資料によると、拠出型企業年金保険の加入者(1団体・11人)の名前、生年月日、性別、加入内容等で情報漏洩が確認されたといいます。

 神奈川県平塚市の公式サイトによると、市民税・県民税および固定資産税・都市計画税(土地・家屋)の納税通知書などのデータが少なくとも286件漏洩したといいます。神奈川県の自治体では、このほかにも漏洩の公表が相次いでいます。

 京都市の公式サイトによると、再委託業者が納税通知書の再プリントを委託先に依頼する際に作成していた一覧表データ(納税義務者氏名、車両番号)、2023年度分176件、平成2019年度分1件の計177件(159人分)で漏洩があったといいます。

 広島県の公式サイトによると、2023年度に印刷用に事業者に提供した個人事業税と自動車税種別割に係る住所・氏名のデータ101件が漏洩したおそれがあるといいます。

 愛媛県の公式サイトによると、住所、氏名、税目、車のナンバー(自動車税のみ)、口座情報(個人事業税(口座振替)のみ)、 税額など5万3452 人(80626 件)の個人情報の漏えいが確認されたといいます。漏洩が確認できた情報は以下の通りです。

  • 令和4年度個人事業税督促状(テストデータ)
  • 令和4年度一斉催告書(エラーデータ)
  • 令和5年度自動車税種別割納税通知書(テストデータ)
  • 令和5年度自動車税種別割督促状(テストデータ)
  • 令和5年度個人事業税納税通知書(一般)(テストデータ)
  • 令和5年度個人事業税納税通知書(口座振替)(テストデータ)
  • 令和5年度一斉催告書(テストデータ)

 東京都大田区の公式サイトによると、2024年度がん検診受診券の画像データ(対象者の氏名、住所等)46人分の個人情報漏洩のおそれがあるといいます。

 東京都教育委員会の公式サイトによると、2023年度の就学支援金受給資格認定審査等に係る生徒19人と、その保護者18人の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)の個人情報が流出した可能性があるといいます。個人情報が含まれていたデータには、パスワードを設定していたと説明しています。

 吉備信用金庫の発表資料によると、22人分のの氏名・住所・郵便番号・お客
様番号の漏洩が確認されたといいます。

 備前日生信用金庫の発表資料によると、17人分の氏名・住所の漏洩のおそれがあるといいます。

 西京信用金庫の発表資料によると、出資配当金支払通知書の画像データ(氏名、住所、郵便番号、出資金額等)を含む出資会員情報18件が漏洩した可能性があるといいます。

 公文教育研究会の公式サイトによると、会員の個人情報(氏名、住所、電話番号、会員番号、「iKUMONサイト」の認証コード/セキュリティコード)や、指導者の個人情報(氏名、住所、電話番号、口座情報、指導者番号)の漏洩が確認できているといいます。

 8月20日に調査結果を公表しました。それによると漏洩のあった個人情報は73万9714人に上るといいます。以下、詳細です。

会員情報について

 2023年2月時点に算数・数学、英語、国語を学習していた会員情報(氏名、会員番号、学習教材、教室名、学年、入会年月、在籍月数)。対象者数は72万4998人。2023年1月末までの退会者は含まれませんが、2月休会者は含みます。

 2023年2月時点に公文認定テストの受験資格を満たした一部の会員情報(氏名、会員番号、学習教材、教室名、学年、受験可能な公文認定テストの種類、過去に合格した公文認定テストのうち最高位のテストの種類)。対象者数は7万1446人。

 2023年度第2回(8月)公文認定テストを受験したた一部の会員情報(氏名、会員番号、教室名、受験された公文認定テスト名・スコア・合格情報)。対象者は2人。

 2023年2月におけるBaby Kumon会員情報(氏名、生年月日、年齢、入会年月、教室名、保護者氏名)。対象者数は9922人。2023年1月末までの退会者は含まれませんが、2月未実施の方は含みます。

指導者情報について

公文式指導者の情報(氏名、教室名、住所、教室電話番号、請求内容、銀行口座情報)。対象者数は1万7481人。銀行口座情報は、1人を除き、銀行口座番号の下3桁はマスキングされていました(例:1234***)。教室開設応募者の情報は含まれておりません。

 三菱UFJ信託銀行の公式サイトによると、窃取された疑いのあるデータの一部に、顧客の個人情報(おもに郵便番号、住所、氏名)が含まれている可能性があると明らかにしました。

 「実際の情報流出の有無および範囲の特定には専門的分析が必要なことから、イセトーでは外部専門家による調査を進めております。対象となるお客さまには、イセトーによる調査の状況・結果を報告してまいります」と説明しています。

 三井住友海上あいおい生命の発表資料によると、窃取された疑いがあるデータの一部に、顧客の個人情報(主に郵便番号、住所、氏名)が含まれていた可能性があるとして、現在、詳細の確認をしているといいます。

 伊予銀行の公表資料によると、氏名、住所、電話番号、口座番号、取引金額等の情報が漏洩している可能性として調査を進めているといいます。