印刷業務委託先のランサムウェア被害の発生について(最終報)
個人事業税納税通知書などの印刷業務を委託している事業者から、ランサムウェア被害による個人情報の流出事案(7月2日公表済み)について、調査結果の最終報告がありましたのでお知らせします。
なお、7月2日の公表以降、新たな個人情報の流出はありません。また、現時点で、二次被害等の報告は確認されていません。
1.概 要
(1)委託事業者
株式会社イセトー広島支店(住所:広島市中区大手町3丁目7番2号)
(2)事案の概要
委託事業者の社内サーバ等に対するコンピュータウィルスであるランサムウェアの攻撃により、
業務を行うため本県が委託事業者に提供した個人情報が記録されたデータが流出した。
2.流出した個人情報(7月2日公表分から新たな流出なし)
31名(101件)
| 区分 | 個人情報 | 人数(件数) |
|---|---|---|
| 1 令和4年度個人事業税に係るデータ | 住所、氏名、税額 | 30名(100件) |
| 2 令和5年度自動車税種別割に係るデータ | 住所、氏名、税額、 登録番号(車のナンバー) |
1名(1件) |
※ 1及び2とも令和5年度に印刷テスト用として県から委託事業者に提供したデータ
3.流出の原因
(1)委託事業者の不適切な事務処理
委託事業者において、本県提供のデータの複製を、個人情報を取り扱うセキュリティの高いネットワー
クとは別のネットワークのサーバに保管し、作業終了後も県との契約に反して、当該データを消去してい
なかった。
(2)委託事業者に対するサイバー攻撃
今回、個人情報を取り扱うネットワークとは別のネットワークのサーバが、サイバー攻撃(ランサムウ
ェア)の被害を受け、消去されていなかった当該データが窃取され、流出した。
4.個人情報が流出した県民への対応
対象者に対しては、県から7月10日に文書によりお詫びと不審な連絡への注意喚起を行いました。二次被害等の報告は確認されていません。
5.経 過
- 5月29日 委託事業者から、身代金要求型ウイルス・ランサムウェア感染の報告(本県関係の該当なし)
- 7月1日 委託事業者から、社内調査の結果、本県関係を含む一部データの窃取・流出が確認された旨の
報告(7月2日に公表) - 7月30日 委託事業者から、本県について既報告分以外の情報流出の可能性はない旨の報告
- 9月18日 委託事業者から、本事案に係る調査結果の最終報告
- 9月30日 物品・委託役務競争入札参加資格に係る指名除外(10月1日から1か月)
6.再発防止策
委託事業者に提供した個人情報が記録されたデータについて、業務完了後の削除等の確認を徹底するとともに、委託事業者に対し、改めて個人情報の取扱いや情報セキュリティ体制の確保について周知・徹底してまいります。