個人情報保護委員会がイセトーに307万人分の情報漏洩について行政指導。再発防止策の徹底が求められています。
要約すると個人情報保護委員会は、307万6477人の個人情報が流出した情報処理サービス企業イセトーに対し、行政指導を行ったことを3月19日に発表しました。
この事件は、2024年5月26日に発生した不正アクセスによるもので、ランサムウェアによって個人データが暗号化され、ダークウェブ上に公開されるという深刻な事態を引き起こしました。
流出した情報には、氏名や住所に加え、確定拠出年金やローン残高、納税額など、個人の財産や健康に関する重要なデータが含まれています。
特に影響を受けたのは約100団体で、金融機関や地方公共団体などが含まれています。
個人情報保護委員会は、イセトーに対してセキュリティ対策の不十分さを指摘し、再発防止策の徹底を求めています。
具体的には、VPN機器のアップデートやパスワード管理の強化、組織体制の見直しが求められています。
特に、従業者に対する教育や個人データの適正な取扱いの徹底が重要視されています。
イセトーのネットワーク管理においては、VPN機器のアップデートが約3年間行われておらず、パスワード管理も不十分であったことが問題視されています。
基幹系ネットワークの管理者アカウントは、約7年間同じパスワードが使用されており、推測が容易な英小文字11桁のものでした。
また、個人データの保管ルールが明文化されておらず、業務系ネットワークでの個人データの保管ルールが守られていなかったため、基幹系ネットワークに個人データがコピーされていたことが、漏洩の原因となりました。
このような事態を受け、個人情報保護委員会は今後の再発防止に向けた対策を強く求めています。
参考リンクhttps://news.yahoo.co.jp/articles/4c406a1f6860593b028b7cfdaa33c3ab58973041