Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、プライバシーマークの審査員より審査関連資料が外部に流出した問題で経緯などを明らかにした。申請とは異なる環境で作業を行っており、複数のランサムウェアによる攻撃を受けた痕跡なども見つかったという。

審査員1人が、審査業務後に廃棄すべき審査関連資料を規程に反して外部記憶媒体などに保管して自宅へ持ち出し、その後外部へ流出したもの。JIPDECでは8月10日に事態を公表するとともに外部協力のもと調査を進めていた。

過去にプライバシーマークを取得していた事業者1社から、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能な状態にあるとの連絡が8月8日にあり、調査を行ったところ判明した。

同審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と審査員名簿が、現状判明しているだけでも2020年7月から2023年8月にかけてインターネット上で閲覧できる状態だった。期間中に少なくとも3種類のランサムウェアによる攻撃を受け、暗号化されたファイルがあることも確認されているという。

流出の可能性があるのは、同協会や日本印刷産業連合会が審査業務を委託していたプライバシーマーク取得事業者最大888社に関する情報。事業者名、所在地、電話番号にくわえて、代表者、個人情報保護管理者、個人情報保護監査責任者、担当者の氏名、部署、役職および一部メールアドレスなど個人情報が含まれる。同協会委託分を約3500人分としており、日本印刷産業連合会の委託分については調査を進めている。

また個人情報保護の運用体制などの状況を示した審査報告書や関連資料のほか、プライバシーマーク審査員669人に関する氏名、住所、電話番号、メールアドレスが記載された名簿なども流出した可能性がある。

(Security NEXT - 2023/11/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Ivanti CSA」脆弱性の悪用が判明 - 侵害状況の確認を
1週間で脆弱性7件を悪用リストに追加 - 米当局
9月のMS月例パッチで「悪用なし」の脆弱性 - 7月以前に悪用
先週注目された記事(2024年9月8日〜2024年9月14日)
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
土地改良区一覧表に個人情報、サイトに誤掲載 - 茨城県
「TSUBAME」の観測グラフを公開休止 - より利便性の高いデータ提供を検討
顧客情報含むUSBメモリが電車内で盗難 - トヨタホーム東京
サイバー攻撃被害が判明、影響範囲など調査 - 異物検査機メーカー
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施