最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員より審査関連資料が外部に流出した問題で経緯などを明らかにした。申請とは異なる環境で作業を行っており、複数のランサムウェアによる攻撃を受けた痕跡なども見つかったという。

審査員1人が、審査業務後に廃棄すべき審査関連資料を規程に反して外部記憶媒体などに保管して自宅へ持ち出し、その後外部へ流出したもの。JIPDECでは8月10日に事態を公表するとともに外部協力のもと調査を進めていた。

過去にプライバシーマークを取得していた事業者1社から、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能な状態にあるとの連絡が8月8日にあり、調査を行ったところ判明した。

同審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と審査員名簿が、現状判明しているだけでも2020年7月から2023年8月にかけてインターネット上で閲覧できる状態だった。期間中に少なくとも3種類のランサムウェアによる攻撃を受け、暗号化されたファイルがあることも確認されているという。

流出の可能性があるのは、同協会や日本印刷産業連合会が審査業務を委託していたプライバシーマーク取得事業者最大888社に関する情報。事業者名、所在地、電話番号にくわえて、代表者、個人情報保護管理者、個人情報保護監査責任者、担当者の氏名、部署、役職および一部メールアドレスなど個人情報が含まれる。同協会委託分を約3500人分としており、日本印刷産業連合会の委託分については調査を進めている。

また個人情報保護の運用体制などの状況を示した審査報告書や関連資料のほか、プライバシーマーク審査員669人に関する氏名、住所、電話番号、メールアドレスが記載された名簿なども流出した可能性がある。

（Security NEXT - 2023/11/14 ） ツイート

PR

関連記事

全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開