最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

同審査員は、審査業務のため自宅で個人所有のパソコンを使用することについて事前に申請し、許可を得ていた。しかし未申請の機器を複数用いるなど、申請内容と異なる環境で作業を行っていた。

さらに規定に反して作業終了後も審査関連資料を廃棄せずに保管。同審査員は作業終了後に関連資料をすべて廃棄していると届けており、同協会では信用して確認しておらず、実態を把握できていなかったという。

審査関連資料と審査員名簿を保管していたファイルサーバに関しても適切なセキュリティ対策を講じておらず、インターネット経由で閲覧できる状態だった。

同協会では、同審査員に対する審査業務の委託を停止。11月9日付けで審査員資格を取り消した。対象となる事業者には書面で連絡を取っている。

また今回の問題を受けて、同協会では個人所有のパソコンによる審査作業を全面的に禁止。審査業務委託契約を締結している全審査員に対し、個人所有のパソコンに審査関連資料を保管していないことを確認し、保管している場合は廃棄するよう求めた。

貸与しているパソコンの取り扱い状況について点検、監視するとともに、研修や監査などを実施。各審査機関に対して、同協会と同様のレベルでセキュリティを確保するよう要請している。

（Security NEXT - 2023/11/14 ）ツイート