2023年09月27日

一連のマイナンバーに関する問題に対して個人情報保護委員会が指導を実施

本ページは下記に移転しました。

https://www.optima-solutions.co.jp/support_article/samurai-20230927/

2023年09月26日

個人情報データベース等不正提供罪で初の逮捕事例～名刺クラウドのIDを不正流用～

本ページは下記に移転しました。

https://www.optima-solutions.co.jp/support_article/samurai-20230926/

2023年07月26日

社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を正式発表

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム（本社：大阪市）は、7月19日付で、これまでの調査で明確になった事実を取りまとめて正式に発表しました。

結果的には「一切の情報漏えいは確認できなかった」ということになりました。特にマイナンバーは別管理をしていたから漏えいの可能性は一切ないという発表です。

以下、同社の公表内容を要約します。

6月5日　同社の複数のサーバー上のデータが暗号され、システムが停止
　　　（ユーザー数3400）
　　　　ランサムウェアによる被害と判明、ネットワークを遮断して対処
　　　　外部の情報セキュリティ専門会社に対応要請
6月6日　大阪府警に連絡
　　　　Webサイトに情報を掲載①
6月8日　個人情報保護委員会へ速報
6月9日　Webサイトに情報を掲載②
6月21日　Webサイトに情報を掲載③
6月30日　一部サービスを再開
7月19日　個人情報保護委員会へ確報
　　　　Webサイトに情報を掲載④

外部の第三者による侵入経路、不正アクセスの影響を受けたサーバー機器、侵害状況と漏えいの恐れのある情報範囲については、いずれも調査の結果判明しているとのことですが、「今後のことを考慮して」非公表としています。

また、情報が外部に漏えいした可能性は完全には否定できないものの、これまでの調査の結果では漏えいの痕跡は確認できておらず、またダークウェブなどにも掲載されていないとのことです。

エムケイシステム社
「当社サーバへの不正アクセスに関する調査結果のご報告（第３報）」
https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

（以前の記事）
6月13日付　社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害～1000万人マイナンバーは無事か？～
6月20日付　社労士向けクラウド「社労夢」不正アクセス事件の続報～1000万人マイナンバーは無事と弁明～
7月6日付　社労士向けクラウド「社労夢」がサービス再開～情報流出はなかったらしい～

（私のコメント）
「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持ってこの事件に注目してきましたが、一応の収束を得ました。情報漏えいはなかった、特にマイナンバーに関しては漏えいは確実になかったとのことで、ホッとしました。（侵入してデータ暗号化までしておいて、持ち出さなかったとは、攻撃者が初心者でミスしたのかもしれません）

そして、同社は事件発覚から1か月半で、個人情報保護委員会への確報までたどり着いていて、振り返ってみると意外と短い期間で収束させたということになります。しかし、その過程において、今回の事件ほど混乱と不透明性が伴ったことはないという感想を持ちました。これは何だったのでしょうか？

それは同社の広報体制が「最低限のことしか公表しない」「報道機関の取材にも協力しない」というスタンスであったことにあると思います。

「これは事件であり、捜査にも影響するから今は言えません」「マイナンバーは別システムで管理しており、今のところ攻撃された痕跡は確認されていません」というようなことだけでも対外的にきちんと説明していれば、もう少し不安は解消されたと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年07月06日

社労士向けクラウド「社労夢」がサービス再開～情報流出はなかったらしい～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム（本社：大阪市）は、サービス停止から約1か月の7月3日付で、一部サービスを再開すると発表しました。

このサービスは、国内の勤労者800万人以上（とその家族）の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模であり、その動向が心配されていました。

同社では、最低限の情報しか公表していないため、依然として全容がつかめていませんが、同社としては
・従来の環境ではなく、AWS（Amazonクラウド）上でシステムを構築した。
・サービス再開にあたり、セキュリティ面の強化を実施した。
・個人情報流出の痕跡は発見されていない。
・マイナンバーは、他の社労夢製品とは切り離した別環境で完全に暗号化されている。
と説明しており、情報流出はなかった模様です。

エムケイシステム社リリース
https://www.mks.jp/company/topics/20220703a

（以前の記事）
https://www.pmarknews.info/accident/52173171.html
https://www.pmarknews.info/accident/52173440.html

（私のコメント）
当初「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持って注目手してきたこの事件ですが、今のところ収束に向かって動いているようです。ただし、同社の情報公開が不十分であることは変わりなく、同社にはどこかのタイミングでしっかりと外部に説明していただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月20日

社労士向けクラウド「社労夢」不正アクセス事件の続報～1000万人マイナンバーは無事と弁明～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

6月5日に、社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止してから既に2週間が経過しました。このサービスは、国内の勤労者800万人以上（とその家族）の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模を誇っていました。

しかし、本サービスを運営しているエムケイシステム（本社：大阪市）は、6月9日を最後に、Webサイト上で事件に関する情報を公開していません。

2023-06-20_14h13_01

顧客である社労士に対してはもう少し詳細な事情説明を行っているようで、Twitterなどではそれらの情報がちらほら見えますが、我々部外者には分からないことです。

驚いたことには、日経新聞の6月13日の記事によると、同社は記者の取材要請に対して「サイバー攻撃に関する問い合わせは受けない」と回答したそうです。

また、東京新聞が6月15日に「マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える」とのタイトルの記事で本事件に触れたことに対して、同社は「東京新聞に掲載された記事について」とのリリースをWebサイトに掲載。その中で「同記事は事実に基づかない全くの憶測にすぎず、（中略）東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するように要請すべく、弁護士に相談している」と反発する姿勢を見せています。

ただし、その同じリリース文において、同社はようやく正式にマイナンバーの取扱いについて弁明を行いました。それによると「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。（中略）現時点では情報流出の事実は確認しておりません」としています。

同社の強硬な態度を見ると、マイナンバーの流出はないのかなあと推測できます。
（今のところはそういう風に理解するしかないのではないかと思います）

日経新聞の記事
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/

東京新聞の記事
https://www.tokyo-np.co.jp/article/256708

エムケイシステムの反論リリース
https://www.mks.jp/company/topics/20230616
（相変わらずWebサイトは重いままです）

（以前の記事）
https://www.pmarknews.info/accident/52173171.html

（私のコメント）
同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとのことです。これを基に、家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれているのではないかと私は推測しています。

しかし、これまでのところ、エムケイシステムの対応は遅く、情報開示も十分にはされていないため、憶測が憶測を呼び、混乱を招いていると言わざるを得ません。
「もしかして1000万人分のマイナンバーが流出しているから何も言えないのかなあ」
「6月22日に株主総会があるからそれまでは公表しないのかなあ」
「国会のマイナンバー審議に影響があるから黙っているのかなあ」
「岸田首相はこの事実を知っているから解散しないと言い出したのかなあ」など、
もちろんこれらはどれも憶測に過ぎませんが、情報を隠すからこそ、このような状況になるのだと思います。

また、全国の社労士事務所、そしてその顧問先に与える影響は私の予想を超えるものだと思います。社会保険関係の手続きが急に紙ベースに戻り、標準報酬月額の見直しと労働保険の申告という年に一度のイベントを乗り切れるのか、不安に感じている関係者も多いことでしょう。

さらに、PPCへの事故報告やプライバシーマーク審査機関への事故報告をどうするのか、事故報告したくても情報がないため詳細不明のまま出すしかないというような状況も生じています。私たちの会社でも、複数のお客様から問い合わせを受けて対応しています。

私自身、過去18年間にわたり、国内の個人情報流出事件を綿密に追ってきましたが、これほど混乱と不透明性が伴う事件は初めてです。情報開示が極めて少なく、対応が不十分であると感じています。

とにかく、同社からの続報を待つことにしたいです。

繰り返しになりますが、私としては、大事件に発展せず、早急に解決されることを願っております。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月13日

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害～1000万人マイナンバーは無事か？～

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面停止～1000万人マイナンバーは無事か？～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」などを展開する株式会社エムケイシステム（本社：大阪市）は、同社が利用しているサーバーに不正アクセスがあり、サーバー上のデータが暗号化され、サーバーが動作を停止したと6月6日に発表しました。

今回、被害が発生したのは、
　・社労夢V3.4
　・社労夢V5.0
　・社労夢Company Edition
　・ネットde顧問
　・MYNABOX
　・MYNABOX CL
　・ネットde事務組合
　・DirectHR
であり、同社の主要サービスがほぼ全面停止したと言ってよいのではないかと思われます。

その後、同社が公表した内容によると、
6月5日早朝　データセンター上のサーバーがダウン
　　　　　　外部専門家の協力の上、調査を開始
　　　　　　インターネット回線を切断
　　　　　　対策本部を設置
　　　　　　警察への通報を実施
6月8日　　　個人情報保護委員会への報告（速報）
と、緊急対応を続けているようです。

同社ではバックアップしていたデータを復旧させることにより、一部のサービスの復旧を進めているとのことですが、6月12日現在、主要サービスの全面復旧には至っていないようです。

https://www.mks.jp/company/

（私のコメント）

同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとしています。家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれている可能性があります。情報漏えいの可能性は現時点では確認されていないとのことですが、万が一の場合、被害は甚大となることが懸念されます。

なお、今回の事態については、現段階では詳細は不明ではありながらも、不正アクセスによる被害とされていますので、個人情報保護委員会（PPC）への「報告対象事態」に当たる可能性が高いと思われます。そのため、多くの社労士事務所ならびに顧問先事業所が、PPCへの事故報告を行ったか、またはその準備をしているものと思われます。

ただし、一件の事件に関して、全国2754か所の社労士事務所と、57万社の顧問先事業所から個別に報告が行われたとしても、PPCがすべてに対応することは困難であり、かえって混乱を招く恐れもあると思います。今回は大元のエムケイシステム社がすでに報告していることもあり、各事業者からのPPCへの報告は現段階では見送ってもいいのではないかと思います（これはあくまでも私の個人的意見です）。ただし、それとは別に本人通知は行う必要があると思います。

とにかく、もう少し詳細が明らかになれば、PPCへの報告ならびに本人通知の必要性や内容の検討などを行えるようになると思います。同社からの続報を待ちたいと思います。

私としては、大事件に発展せず、早急に解決されることを願っております。

（6月17日追記）
同社は東京新聞への抗議のリリースの中で、マイナンバーの流出の可能性はないと公表しました。もっと早く教えて欲しいですね。

https://www.mks.jp/company/topics/20230616

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年06月02日

マイナンバーカードへの信頼が揺るぐ事態に対し、個人情報保護委員会が対応方針を公表

マイナンバーカードへの信頼が揺るぐ事態に対して個人情報保護委員会が対応方針を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

健康保険証を廃止し、マイナンバーカードに機能を集約するマイナンバー法改正が成立したタイミングの中で、マイナンバーカードの利用に関する複数問題が浮上しています。これらの問題に対し、個人情報保護委員会（PPC）が対応方針を公表しました。ここでは、その概要をご紹介します。

これは、5月31日に開催された第244回個人情報保護委員会で議題に上げられたもので、対応方針案がPPCのWebサイトで公表されています。公表されている資料には（案）とついており、最終版ではありませんし、議事の内容もまだ掲載されていないため、確定した内容は分かりませんが、おおむねこの方針で進むことになるのであろうと思われます。

資料では、現在問題となっている事態を下記の3点に集約し、それぞれに対する着眼点と対応方針を記載しています。

（１）コンビニでの住民票等の誤交付
　各自治体＞委託先の監督に問題がなかったか
　開発元の富士通Japan＞安全管理措置の問題がなかったか

（２）マイナンバーカードの健康保険証利用における紐付け誤り
　健保組合＞規律を順守していたか
　厚生労働省＞確認手順について適切に通知していたか
　実施機関＞登録チェックの仕組みに改善点はないか

（３）公金受取口座の誤登録等
　デジタル庁／国税庁＞共有端末でのマイナンバーの利用に関する対策は十分だったのか
　自治体＞窓口での対応は適切であったのか
　国税庁＞事務の実施手順は適切であったのか
　
PPCとしては、今回の事態に対して、あくまでも規制当局として、マイナンバーの運用に関わる主体（自治体、健保組合、デジタル庁、国税庁など）に対して、監督権を行使する方向で対応するようです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230531/

（私のコメント）
この対応方針は、PPCが規制当局であることを再認識させるものです。マイナンバーやマイナンバーカードの普及を目指す各主体に対し、法的な枠組みの整備と監視を行い、問題が発生した場合には、それを指摘して改善を促す。これにより、個人情報の保護と社会全体の効率化・最適化が実現される。そういうPPCの方向性がはっきりと示された対応方針だなと感じました。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年05月10日

マイナンバーカードを利用したコンビニ証明書発行を一時停止に～河野デジタル大臣が発表～

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、3月以降、トラブルが何度も発生している
「マイナンバーカードを利用したコンビニでの証明書発行サービス」
について、河野デジタル大臣は、
システムを一時停止して徹底的な再発防止を図るように
指示したとのことです。

このサービスは、コンビニでマイナンバーカードを利用して、
住民票の写し、印鑑証明書や戸籍謄本を交付するサービスですが、
今年3月以降、別人の証明書が発行される不具合が13件発生しているといいます。

システムを開発・運営している富士通Japanでは、
システムの負荷が一定以上になった場合に、
このような事態が発生する可能性があるとのことで、
既にシステムの改修は終えたということですが、
それにも関わらず、また再発したことをきっかけに、
デジタル庁として徹底的な再発防止を求めたもののようです。

NHKによる報道
https://www3.nhk.or.jp/news/html/20230509/k10014061271000.html
河野デジタル庁記者会見（2023年5月9日）
https://www.digital.go.jp/speech/minister-230509-01/

（私のコメント）
住民票は、マイナンバー（個人番号）を印字することもできるものです。
また印鑑証明書や戸籍謄本などは大変重要な文書であり、
別人に発行するようなことはあってはならないものです。

本件に関しては、広い意味ではマイナンバーに関する事項でもあり、
個人情報保護委員会（PPC）も関心を持っていると思われますが、
今のところ公式の見解や発表は出ていないようです。

また動きがあれば追いかけていきたいと思います。

（追記）
5月10日に開催された個人情報保護委員会で、本件が議題に上げられました。
番号法ならびに個人情報保護法に基づいて、各自治体に対する資料提供の求め、
富士通Japanに対する報告の徴収を行うとのことです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230510/

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023年03月03日

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです

（画像は実際に顧客に送付された手紙と金券）

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者（契約終了者も含む）の
姓（漢字、カタカナ）、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券（クオカード）を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

（私のコメント）
500円の金券を送付することは、2004年に発生したYahoo！BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円（2021年度）とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を（金額という形で）表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023年02月17日

ソースネクストからカード情報含む個人情報約12万件が漏えい～公表まで1か月の妥当性を考える～

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

（１）2022年11月15日～2023年1月17日の間に同社サイトで製品を購入した利用者
　個人情報120,982名分
　（氏名、メールアドレス、郵便番号、住所、電話番号　※一部は任意入力）

（２）上記のうち、クレジットカード情報を登録した利用者
　カード情報112,132名分
　（カード名義人名、クレジットカード番号、有効期限、セキュリティコード）

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き（費用は同社負担）などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日　クレジットカード会社から連絡を受ける
1月5日　Webサイトでのカード決済を停止
1月5日　第三者調査機関による調査を開始
1月6日　個人情報保護委員会に報告（速報と思われます）
1月10日　所轄警察署に被害申告
1月13日　総務省関東総合通信局に報告（電気通信事業者のため？）
1月17日　不正プログラムの特定と削除が完了
1月23日　調査機関による調査が完了
2月14日15時　本人へ通知メール発信
2月14日　公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

（過去の記事）
ワコム公式ストアからカード情報などが流出～発覚から公表まで3カ月かかる～
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年11月21日

ワコム公式ストアからカード情報などが流出～発覚から公表まで3カ月かかる～

（画像は同社のWebサイト）

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

（１）2022年2月19日～4月19日の間の「ワコムストア」での購入者
　クレジットカード情報最大1,938件
　（名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス）

（２）2021年2月22日～2022年4月19日の間の「ワコムストア」の利用者
　個人情報最大147,545名分
　（氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど）

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日　クレジットカード会社から連絡を受ける
8月22日　「ワコムストア」での販売・カード決済を停止
8月22日　個人情報保護委員会に報告（速報と思われます）
8月30日　第三者調査機関による調査を依頼
9月30日　調査機関による調査が完了
10月3日　埼玉県警に被害申告
10月17日　個人情報保護委員会に報告（確報と思われます）
11月21日　公表

https://estore.wacom.jp/ja-JP/info/202211

（私のコメント）
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止／再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年11月09日

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される

（画像は杉並区のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

（私のコメント）
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーマーク・ISMSナビ

タグ：個人情報流出