個人情報保護委員会から、イセトーに対する行政上の対応について公表されました。
イセトーの件はこれまでも何回も取り上げてきましたが、今回は正式な調査報告も含まれているので必読です!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
<過去blog>
イセトー ISO27001認証ISO27017認証 一時停止解除
https://plug-in01.com/topics/archives/293
イセトー プライバシーマーク付与一時停止措置
https://plug-in01.com/topics/archives/285
ランサムウエア被害 (株)イセトー 取引先の個人情報大量流出の恐れ
https://plug-in01.com/topics/archives/259
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
↓
内容を見てみましょう!
https://www.ppc.go.jp/news/press/2024/250319_houdou/
概要はこれまで報道されていた通り。
気になるので全文じっくり見ていきます。
↓
通知物の中には財産情報や要配慮個人情報も含まれていたようです。
金融機関とか行政関係の通知物だとそうなりますよね。
そして保管状況がこちら。
↓
業務系と基幹系に分けていたとは言われていましたが、
社内の公知のルール・・・??
日々の業務の中でルールを理解していた?
社内ではルールにしていないけど、
当然のこととして業務に組み込まれていた・・ってことかな。
そして、侵入経路はこちら。
↓
このへんも、これまで報道されていた内容ではありますが、改めて以下の原因(侵入原因、流出原因)が挙げられています。
①VPN機器の脆弱性
(令和3年4月以降アップデートされていなかった)
②弱いパスワード管理
(平成29年2月から同じパスワード。推測可能な英小文字11文字。←まさか「administrator」の一部とかじゃないよね・・・?)
③保管場所のルール違反
(56部署のうち3部署が公知のルールを遵守せず、基幹系ネットワーク上でデータを取り扱っていた)
侵入原因については、徳島県の半田病院のランサムの際にも散々言われたいたことですが、またか・・・
③については、会社で公知の状況なのに、なぜ???(←というのは、読み進めると記載されていました)
そして、二次被害の発生状況の後に、
個人情報保護法上の問題点が整理されています。
↓
個人情報保護法上の問題点については、
最初の方に記載されていた原因や管理状況等の不備について、
どの条文に対する問題かを紐づけているだけで、
内容としては原因を繰り返し整理している感じですね。
そして、今回ここまで詳細に公表した理由も記載されています。
↓
「個人情報の取扱いについての国民に対する透明性や信頼性の確保の観点を考慮」して公表されたとのこと。
金融や保険、医療業界などは、元々特に厳しいセキュリティが要求されていることは知られていますが、
印刷会社も、ちょっと前に漏洩事故があったコールセンター関係も・・・
そういった業界から受託して個人情報を取扱うからには、
同等またはそれ以上のセキュリティが要求されることを改めて思い知らされます。
個人情報を取扱うすべての企業は、教訓として参考にすべき内容です!
この内容は、今後の教育資料等にも組み込んでいきたいと思います。
