最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員より審査関連資料が外部に流出した問題で経緯などを明らかにした。申請とは異なる環境で作業を行っており、複数のランサムウェアによる攻撃を受けた痕跡なども見つかったという。

審査員1人が、審査業務後に廃棄すべき審査関連資料を規程に反して外部記憶媒体などに保管して自宅へ持ち出し、その後外部へ流出したもの。JIPDECでは8月10日に事態を公表するとともに外部協力のもと調査を進めていた。

過去にプライバシーマークを取得していた事業者1社から、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能な状態にあるとの連絡が8月8日にあり、調査を行ったところ判明した。

同審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と審査員名簿が、現状判明しているだけでも2020年7月から2023年8月にかけてインターネット上で閲覧できる状態だった。期間中に少なくとも3種類のランサムウェアによる攻撃を受け、暗号化されたファイルがあることも確認されているという。

流出の可能性があるのは、同協会や日本印刷産業連合会が審査業務を委託していたプライバシーマーク取得事業者最大888社に関する情報。事業者名、所在地、電話番号にくわえて、代表者、個人情報保護管理者、個人情報保護監査責任者、担当者の氏名、部署、役職および一部メールアドレスなど個人情報が含まれる。同協会委託分を約3500人分としており、日本印刷産業連合会の委託分については調査を進めている。

また個人情報保護の運用体制などの状況を示した審査報告書や関連資料のほか、プライバシーマーク審査員669人に関する氏名、住所、電話番号、メールアドレスが記載された名簿なども流出した可能性がある。

（Security NEXT - 2023/11/14 ） ツイート

PR

関連記事

「MS Edge」にアップデート - ゼロデイ脆弱性を解消
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目
「無印良品」通販の顧客情報が流出か - 物流委託先がランサム被害
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
非常勤医師が自宅でサポート詐欺被害、内部に患者情報 - 和歌山の病院
メール誤送信で商談会出展事業者のメアド流出 - 大阪府
リサイクル着物の通販サイト、クレカ情報流出のおそれ
ランサム攻撃でシステム障害、情報流出の可能性 - 東海ソフト開発
メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者