プライバシーマーク認証団体・JIPDECが審査関連書類を漏洩
2023/11/17   情報セキュリティ, 個人情報保護法

はじめに

個人情報の取り扱い体制を評価し認証する「プライバシーマーク制度」。そのプライバシーマーク制度の運営団体である一般財団法人日本情報経済社会推進協会（JIPDEC）は11月13日、8月に発覚したプライバシーマークの審査関連資料の漏えいについて、調査結果を発表しました。最大888社の審査関連資料と審査員669人の氏名や住所などの個人情報が漏洩したおそれがあるとしています。
本記事では、事件の詳細とJIPDECが取り組む対策等について解説します。

漏洩の経緯

プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づき、個人情報について適切な保護措置を講ずる体制を整備している事業者などをJIPDECが評価する制度です。適切に個人情報を取り扱っていると評価された事業者には、JIPDECよりプライバシーマークが付与され、その使用が認められます。

本来、個人情報の取り扱い体制を評価する側のJIPDEC。そのJIPDECにおいて、今年8月8日、以前にプライバシーマークを取得した事業者から、「インターネット上で自社に関するプライバシーマークの審査関連資料のファイルが閲覧可能となっている」という趣旨の連絡が入ったといいます。

連絡を受けて、JIPDECは即座に調査を実施。その結果、事業者からの指摘どおり、同事業者の審査関連資料がインターネット上で閲覧できる状態になっていました。フォレンジック調査などでさらに詳しく調べた結果、以下の(1)と(2)の資料等が、少なくとも2020年7月〜2023年8月までの期間、インターネット上で閲覧可能な状態となっていたということです。

(1)プライバシーマーク審査関連資料
JIPDECが2005年10月〜2023年7月までに実施した審査関連資料。最大888社分。内容は、代表者名や担当者名、役職、部署、一部担当者のメールアドレスなど。

(2)審査員名簿
2005年〜2011年までJIPDECと契約していた審査員の名簿。669名分。内容は、氏名、メールアドレス、電話番号、住所など。

加えて、当該期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルが確認されたといいます。

情報漏洩が発生した原因

JIPDECでは、以下を条件に、審査員が自宅で個人のパソコンで審査業務の一部を行うことを許可していました。

・事前にパソコンの機種やバージョン、ウイルス対策などの対応状況などを報告すること
・審査作業が終わった後に審査関連資料を廃棄すること

しかし、当時審査員だったA氏は、許可申請時に届け出ていなかった機器を複数用いて審査業務をしており、さらに作業終了後の資料廃棄も行っていませんでした。

さらに、A氏は、審査関連資料や審査員名簿を保管していたファイルサーバーについても、適切なセキュリティ対策を施しておらず、インターネット上で閲覧できる状態になっていたといいます。

JIPDEC側はA氏からの「作業終了後に資料を廃棄した」とする届出を信用し、実態を確認していませんでした。

JIPDECは、今回の事案発覚後、A氏への審査業務の委託を停止し、11月9日付で審査員資格を取り消しています。また、情報漏洩が確認された、もしくは情報が漏洩したおそれのある事業者に対し、専用の相談窓口を設置し対応を行なっています。

なお、A氏はJIPDECに加え、一般社団法人日本印刷産業連合会の審査業務も兼任しており、2008年〜2011年分の資料が同様に保管されていたことが確認されています。そのため、漏洩被害はさらに拡大している可能性があるということです。

コメント

協会は再発防止策として、すべての審査員の個人所有パソコンに、審査関連資料を保管していないか確認し、保管している資料があれば廃棄するように指示したうえで、今後、個人のパソコンでの審査業務を全面禁止すると発表しました。今後は貸与パソコンのみで審査業務を行い、貸与パソコンの取扱い状況などを監視・点検するとしています。

協会設立以来、50年強にわたり「個人情報の保護」の分野で実績と信頼を築き、知見やノウハウを貯めてきたJIPDEC。しかし、いくら組織内に知見やノウハウがあっても、実際に運用する個々人の意識・リテラシーの欠如で容易に情報漏洩が発生してしまうことがわかります。

情報セキュリティ分野においては、多少の性悪説に立ち、漏洩をさせない仕組み作りと徹底した管理で対応する必要がありそうです。