“プライバシーマーク認証団体”が情報漏えい　審査員が個人PCで書類保存、約3年間外部から丸見えに

　8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS（Network-Attached Storage）に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。

　その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年10月～2023年7月までに実施したPマーク審査の関連資料と、05～11年まで協会と契約していた審査員名簿などが少なくとも20年7月～23年8月までネット上で閲覧可能な状態となっていた。この期間中、少なくとも3種類のランサムウェア攻撃を受け、暗号化されたファイルがあることも確認したという。

　審査関連情報には、一部担当者のメールアドレスが少なくとも3500件分の他、事業者名や所在地、電話番号なども含まれていた。なお、銀行口座番号やクレジットカード番号などは含まれていなかったという。審査員名簿には、JIPDEC642人、日本印刷産業連合会27人の氏名やメールアドレス、電話番号、住所といった情報が含まれていた。銀行口座番号やカード番号などは含んでいなかった。

　JIPDECでは事前許可を取れば、個人所有PCでのPマーク審査の一部業務を行うことを認めていた。申請の際には、PCの機種やOSのバージョン、ウイルス対策などの作業環境を報告させていたが、該当審査員は届けていない機器を複数使っていた。今回の件の発覚後、該当審査員への審査業務の委託を停止し、11月9日付で審査員資格を取り消した。

　JIPDECは「多大なご迷惑とご心配をおかけしておりますことを深くおわび申し上げます」「Pマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります」と謝罪。

　再発防止として、全審査員の個人PCで関連資料を保管していないことを確認し、保管している資料があれば廃棄するように指示。個人PCでの審査業務を全面禁止した。今後は貸与したPCのみで審査業務を行い、貸与PCの監視・点検を行う。

ITmedia
2023年11月13日 16時32分
https://www.itmedia.co.jp/news/articles/2311/13/news133.html