Pマークの「JIPDEC」888社分の審査関連データ流出 ランサムウェア被害も判明

日本情報経済社会推進協会(JIPDEC)において、プライバシーマーク審査関連資料の情報が流出した。

情報流出は8月8日、Pマークを取得した事業者1社から「インターネット上で審査関連資料と思われるファイルが閲覧可能」との連絡が入り問題が浮上。
調査の結果、1人の審査員が自宅のPCに廃棄すべき資料データを保管していた事実が確認された。
閲覧可能となっていた審査関連資料および審査員名簿データは、当該審査員私用のNetwork Attached Storage(NAS)に保管されていたとのことで、設定の不備によりインターネット上で閲覧可能な状態になっていたという。
そのうち一部データは外部から不正アクセスされ、ランサムウェアにより暗号化されていたことも確認されている。
原因として、作業員の業務使用するパソコンのOSやセキュリティなどの作業環境をチェックし、作業終了後は当該資料データを廃棄するルールが取り決められていたにもかかわらず守られていなかったことが挙げられている。
なお、流出したデータは事業者の審査関連資料と審査員名簿データ888社分が該当し、氏名、メールアドレス、電話番号、住所、事業所在地などが流出したとみられている。
なお、銀行口座番号およびクレジットカード番号は影響対象外とのこと。

データ流出を確認した事業者および影響を受けた事業者に個別での連絡を実施。
今後は全審査員私用のパソコンでの審査関連資料データ保管を禁止し、セキュリティ対策の整ったパソコンのみを使用するよう指導している。
また、審査員には再度審査関連資料の適切な取扱いについて周知と研修を行い再発防止を図るとされている。

【参考記事】
【お詫び】プライバシーマーク審査関連資料の漏えいについて
https://www.jipdec.or.jp/