個人情報保護委員会に報告せねばならないのか?〜個人情報が山盛りの給与計算のクラウドシステムがランサムウェアにやられただと!?

2023年6月13日

ランサムウェアの猛威は止まっていない

引き続き、身代金目的で自社データが暗号化されてしまうランサムウェが猛威を振るっています。

ガリバーで240万件のデータ漏洩も大変ですが、エーザイのも気になります。何の情報が漏れたのかまだわかりませんが、医療情報でないといいのですがね。

社労士向けのクラウドサービス 社労夢がランサムでやられた

そんな中、社労士クラウドがやられたようです。社労士クラウドということは、多くの事業者の給与計算を請け負っているでしょうから、給与関係の情報、つまり、マイナンバーから住所から、扶養家族情報から、給与額までのデータがごっそり行かれた可能性がありますね。まじでやばい。

一体、何人のデータがやられたのかまだわかりませんが、Twitterでみていると、以下のような数字もありましたね。

復旧までには時間がかかる

今までランサムウェアの被害では、まるごとデータがやられて、バックアップも感染!となっていると、すぐの復旧は無理でしょう。

バックアップが残っていたら、環境再構築して復旧でそれほど時間はかからないかもしれませんが。

障害は先月末に起きたようですが、10日位経って復旧できていないことから、かなりダメージが大きそうですね。

ーーーー

「社労夢(Shalom)v5.0」「同v3.4」「同Company Edition」「ネットde顧問」「MYNABOX(マイナボックス)」「同CL」「ネットde事務組合」「DirectHR」などで障害が発生した。

https://www.security-next.com/146743

ランサムウェアは組織のセキュリティ10大脅威で4年連続1位です。

攻撃手法としては多様化していますが、結局のところ、ごっそりデータ抑えられて被害が大きくなるのがランサムウェアの特徴ですね。

クラウドのせいではない

ただ、今回のことで、クラウドで給与計算するのはけしからん!とならないようにしたいですね。

全くインターネットに繋がっていないパソコンで計算するならいざしらず、多くのパソコンはネットワークに繋がっているでしょう。

そうすると、ニュースにならないところで、ひっそりと給与計算のデータが吹っ飛んだ!ウィルス感染した!なんてことはたくさん起きていると思います。

クラウドサービス事業者の責任は重大ですが、セキュリティ知識の乏しい事業者で自分のパソコンで給与計算している方が、セキュリティ的には絶対に危険だと思います。

でもまあ、データ量の多さからいって、クラウドサービスの管理もしっかりせねばいけないのは当然ですが。

今後の対応をどうするか? 6/13時点

個人情報保護委員会へ報告

個人情報が漏洩したら、個人情報保護委員会へ報告する必要と、漏洩した本人への通知が必要です。今回はマイナンバーという特定個人情報に、給与情報という個人情報が漏れたのならば、報告必要です。

そのため、事業者から従業員への通知、そして個人情報保護委員会への報告が必要です。

つまり給与計算を受託していた社労士事務所から各事業者へ、連絡して、という流れになるでしょう。

ただ、ちょっと報告は待ってもいいのではないか? 6/13

なぜなら、まだ情報が漏洩したかどうかはわかりません。

ランサムウェアに感染したからといって、漏洩が確定ではないのです。

(ただ、個人的には漏洩している可能性が結構高いとは思っていますが、まだわかりません)

↓↓↓ ランサムウェアで個人情報が漏洩するかどうかに関する参考記事

ランサムウェアによる情報漏洩リスクとは?手口や事例、対策を徹底解説

では、どうするか?エムケイシステムからの報告待ちになるのではないか?

まだ漏洩が確定したわけではないので、中小事業者から委員会への報告は、早まらなくてもいいのではないでしょうか?

ただ、社労士事務所から、事業者への中間報告(速報)として、漏洩の可能性があるということは伝えておくべきでしょう。

そして、現状、社労夢等のエムケイシステムで調査中なので、調査が終わって報告が出次第、改めて報告する、という流れになるのではないでしょうか。

エムケイシステムさんも、今回の、事後処理で失敗すると、サービスと会社自体が吹っ飛んでしまいかねませんので、漏洩事実の調査とその結果は必ず報告してくれるでしょう。そして漏洩していた場合の対応方法についても伝えてくれると思います。(希望的観測) 責任をもってやって欲しい。

エムケイシステムのお知らせコーナーでは、余り情報が出ていません。もちろん、契約者にはメルマガ等で連絡が言っているかと思いますが、事態の重大さからいって、Webサイトのお知らせでもわかったところまで随時報告するのが筋だと思います。(ということは、まだ漏洩したか、してないか把握できていないのかもしれません(悲観的観測 6/13)

(6/9のお知らせの中で、追記はされているものの、随時、お知らせの日付を更新して伝えてほしいなあ)

↓↓↓ エムケイシステムのお知らせコーナー (6/13時点)

現時点での対応はどうする?

じゃあ、現時点でどうするかというと以下になるのではないでしょうか?

・事業者さんへ漏洩リスクの発生の速報はいれておく
・そしてエムケイシステムの結果報告待ち
・実際に漏洩していたら、事業者さんに、漏洩の事実を報告して、事業者から委員会報告、本人通知を行う。

所感

しかしまあ、もし漏洩していて、全事業者から漏洩報告が委員会にいったら、委員会がパンクしそうな気もします。こういった場合にはクラウドサービス側から一括報告で済むような形での法整備、ガイドライン整備が求められるのではないでしょうか? 

(難しいかなあ。個人情報を預かる責任者はあくまで事業者で、自宅先に社労士事務所、そしてクラウドサービスという位置づけですしね。)

個人情報保護委員会 〜漏えい等の対応とお役立ち資料

https://www.ppc.go.jp/personalinfo/legal/leakAction/#about

そんなところで。

セキュリティ

Posted by tomoyamurakami