『公文の業務委託先がランサムウェア感染』
大手教育サービスの株式会社公文教育研究会は郵送物業務を委託していた株式会社イセトーがランサムウェアの攻撃を受けたことにより個人情報が漏えいした件について8月20日に第三報となる報告を行った。
~経緯~
5月26日、イセトーのサーバー、PCが暗号化されるランサムウェアによる被害が発生し、6月18日に攻撃者グループのリークサイトにおいて窃取されたと思われる情報のダウンロードURLの出現を確認した。公開された情報の中に取引先である公文の顧客個人情報が含まれていることが判明した。
流出した公文の個人情報は会員の住所、電話番号、サイトの認証コード・セキュリティコードなど4,678名分と特定し、その後の継続調査により多数の会員情報と指導者情報が漏えいしていたことも新たに判明した。
~再発防止への取り組み~
公文は委託先における安全管理措置に対する審査基準を厳格化し、取引の見直しを進めるとしている。また、個人情報の安全管理が担保されるよう業務委託契約書や秘密保持契約書の契約条項を見直し不定期の監査なども今後実施していく。
どれだけ自社で厳しいセキュリティを備えていても、業務委託先からこのような漏えい事故が発生してしまうリスクは常にある。委託契約条項の見直しは定期的に行うべきであり、契約条文にサイバー保険契約を求める企業も増えてきている。