画像:個人情報保護委員会より引用
個人情報保護委員会は2024年3月25日、IT関連事業社の株式会社エムケイシステム(エムケイ社)サービスのランサムウェア感染問題について、個人情報保護法に基づき行政指導を行いました。
エムケイ社は社会保険労務士事務所向け業務支援システム「社労夢」などを提供している企業です。「社労夢」は約2,700もの社労士事務所から利用され、最大約2,242万人個人情報がやりとりされていましたが、エムケイ社は2023年6月、「社労夢」の関連システムのランサムウェア感染や情報漏えいの懸念を発表。以後2023年6月までに、合計3,067 件・約750万人の漏えい報告が、個人情報保護委員会に寄せられました。
個人情報保護委員会は行政指導に関連し、エムケイ社の安全管理措置の問題点を指摘しています。個人情報保護法は取扱事業者に安全管理措置(23条)を定めていますが、委員会が「社労夢」において①ユーザのパスワードルールが脆弱であったこと、②管理者権限のパスワードも類推可能など脆弱なものであったこと、③ソフトウェアのセキュリティ更新が適切に行われていなかったこと、④ログの保管、管理、監視が適切に実施されず不正アクセスの検出が遅れたことを問題点としています。
なお、個人情報保護委員会はユーザー(社労士事務所や企業等)の責任について、一部認識について注意懸念を発するものの「ユーザには、法第2 条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない」と発表しています。一方、エムケイ社に「技術的安全管理措置に不備が認められる」と指摘。同社に対して安全管理措置強化や再発防止策の実施について指導・報告を求めました。
参照株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について/個人情報保護委員会