弊社使用システム(社労夢)におけるシステム障害に関する調査結果のご報告
弊社使用システム(社労夢)におけるシステム障害に関する調査結果のご報告
平素は格別のご高配を賜り、厚くお礼申し上げます。
弊社が給与計算、手続業務等に使用しているシステム(株式会社エムケイシステム製「社労夢」)のサーバーが、ランサムウェアによる第三者からの不正アクセスを受けたことにつきまして、このたび株式会社エムケイシステム(以下、「エムケイシステム社」)より停止していたシステムの復旧連絡とともに事態の概要及び及び調査結果の報告がございましたので、以下のとおりご報告申し上げます。
【事態の概要、調査結果の報告内容】
本年6月5日未明、クラウドサービス提供会社が同社のデータセンターで稼働するサーバへアクセスできないことからシステム異常を認知しました。事象を認知した後、同社において状況を確認した結果、サービスに使用しているサーバに第三者からの不正アクセスがあり、ランサムウェアに感染していることが判明しました。事象確認後、全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対処を行いました。
その後、不正アクセスによって暗号化されたプログラムの復旧作業を実施しておりましたが、概ね復旧し、ほぼすべてのサービスの提供を再開しております。
一方で、システムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータ*が外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないかに関する調査においても当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用等の二次被害の報告は寄せられておりません。
* 登録データ項目は、利用システムによって変わりますが、共通する項目として「氏名」「性別」「生年月日」「住所」「社名」が想定されます。
ランサムウェアによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を実施した結果、漏えいの証拠を見つけることができませんでしたので、ご安心いただきますようご報告する次第でございます。
詳細につきましては、エムケイシステムより発表されている調査報告書(こちら)をご参照ください。
【個人情報保護委員会に対する報告等について】
6月26日にご案内しましたとおり、個人情報保護法及び個人情報保護法施行規則に拠り、6月16日に個人情報保護委員会へ「事故報告書(速報)」を提出しております。その際に顧問先事業所各社様につきましても連名で報告するためのリストを提出いたしました。今回のエムケイシステム調査結果を受けて、「事故報告書(確報)」におきましても同様に「連名報告」の形で提出する予定でございます。これにより、お客様から個人情報保護委員会へ個別にご報告をいただくことが不要となりますので、ご承諾いただけますようお願い申し上げます。なお、速報報告時に連名を希望されなかった事業所様につきましては、確報においても個別でのご報告をお願い申し上げます。
※プライバシーマーク取得されている事業者様は、大変恐れ入りますが、委託元事業所としてお客様からも個別に審査機関へご報告いただく必要がございます。
また個人情報保護法は、不正アクセスを受けたデータ(顧問先従業員様の登録データになります)についても「本人への通知」を義務付けており(法第26条第2項)、お手数をおかけし大変恐縮ですが、ご希望のお客様には顧問先従業員様への書面をご用意いたしますので、こちらからお問合せいただきますようお願いいたします。
【弊社としての今後の対応】
エムケイシステムの調査により、情報流出・漏洩の事実は確認されていないことが報告されていますが、今後、新たな事実の発覚又は情報流出の確認、報告等があった場合には、速やかに対象のお客様にご連絡いたします。
このたびは、多くの顧問先様、従業員の皆様、関係者の皆様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
以上
社会保険労務士法人 さくらマネジメントオフィス
代表 大柳 京子
東京労務改善推進協会
理事長 大柳 京子