プライバシーマーク認証団体の情報漏洩問題 NASで誤公開、3種類のランサムウェア被害形跡
2023年11月17日 11:19
8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会(JIPDEC)が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた(JIPDEC発表、ITmedia、日経クロステック)。 その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。