• 
• 

　自治体や企業から印刷・発送業務などを委託されている「イセトー」（京都市）がランサムウェア（身代金ウイルス）によるサイバー攻撃を受け、個人情報が流出した問題で、流出が確認されたか流出の恐れがある情報が、11日までに少なくとも計90万件に上ることがわかった。ただ、同社は公の場で状況を説明しておらず、被害の全容は明らかでない。

　「発注元として県民のみなさまにおわび申し上げたい」。徳島県の後藤田正純知事は5日の会見で、約14万5千人分（法人を含む）の個人情報が流出したことについて謝罪した。

　県は同社に自動車税の督促状などの作成を委託した。2023年度の印刷データとして同社に渡した住所や税額などが流出した。

　愛知県豊田市は、延べ約42万人分の個人情報が被害に。市によると、税額や口座情報の載った納税通知書、接種履歴や生年月日などが載った新型コロナ予防接種券などが流出した。

　和歌山市でも住所、名前のほか、所得、税額など約15万1千件の個人情報などが流出。京都府、高松市、神奈川県平塚市、東京都大田区など、被害は全国に広がる。

　さらに金融機関など企業や団体からも流出した。愛知、岐阜、三重、静岡4県の信用金庫の支援業務を担う「東海信金ビジネス」（名古屋市）は、26信金の顧客の氏名約7万7千件が流出したと発表。ダイレクトメールの印刷・発送をイセトーに再委託していた。

　農業機械大手クボタ（大阪市）の子会社で信販会社のクボタクレジットからは、イセトーに印刷・発送を委託した利用明細のデータが流出。約6万1千人分（法人などを含む）の利用・請求明細、引き落とし口座情報の一部が含まれていた。

　流出した情報は幅広い。公文教育研究会からは会員の住所、電話、学年や教室などが約4600人分、パナソニック健康保険組合からは保険証番号や医療機関・薬局名、医薬品名などが約1万3千人分、マニュライフ生命からはEメールアドレスや年収情報約1千件が流出した。

ずさんな対応

　自治体や企業などからは、イセトーのずさんな対応を指摘する声があがっている。当初は自治体・企業に「個人情報の流出はない」と報告したが、その後に流出が確認されたと連絡。徳島県は損害賠償請求も検討するという。

　同社はこれまでに3回、自社のホームページで情報を更新。5月26日に複数のサーバーなどがランサムウェアによる被害を受けたとし、「調査の結果、事実関係が明らかになりましたら、速やかにご報告いたします」などとした。だが、流出件数や被害を出した自治体・企業の数を今も明らかにしていない。

　また、会見も開いておらず、朝日新聞の取材に「お客様対応を最優先にしており、取材やお問い合わせについてはご遠慮いただきたい」と答えた。

　イセトーのホームページによると、同社の創業は1855年（安政2年）。和紙の卸・小売業が源流で、1970年代からは情報処理サービスを手がける。主な取引先は銀行、保険などの金融機関、自治体や政府機関など3千社以上という。東京商工リサーチによると、イセトーの2023年3月期の売上高は178億円。（野口陽）

削除されていなかったデータ

　自治体側は、業務委託終了後に削除する決まりだったデータが、実際には残ったままだったと訴える。これがサイバー攻撃による情報流出の被害拡大につながった可能性がある。

　約14万5千人分の県民の個人情報などが流出したと発表した徳島県によると、個人情報を扱ってはならないイセトー社内ネットワーク上に情報が保管され、ここから流出したとイセトー側から説明を受けたという。業務委託終了後に個人情報を削除したという報告を受けていたが、実際には削除されていなかった。

　地方自治体の情報セキュリティーに詳しい上原哲太郎・立命館大教授は、「2015年に起きた日本年金機構のサイバー攻撃被害と構図が似ている」と話す。約125万件の年金加入者情報が流出した事案で、ネットと切り離された年金システムから加入者情報を取り出し、ネットに接続され個人情報の保存が禁じられた事務作業用のサーバーに情報をコピーしたことが原因だった。

　上原教授は「年金機構と同様にルール違反があったのではないか。イセトーの情報管理が適切だったか検証する必要がある」と指摘する。被害にあった自治体関係者からは「委託先を今後、どのように信頼して選べばいいのか」という訴えが寄せられているという。

認証資格はあったが……

　イセトーは自社サイトで、個人情報やプライバシー情報の取り扱いが適切であることを評価する「プライバシーマーク」など、複数の情報セキュリティーに関する認証資格を得ていると記す。いずれも外部機関が審査し、社会的な信用がある。

　上原教授は「認証資格との整合性が問われる事態となれば、自治体にとっても今後、外部委託先を選ぶ根拠の一角が崩れてしまう」。認証制度の信頼そのものが問われることになりかねないといい、「そのためにもイセトーは経緯について、つまびらかに説明する責任がある」と言う。

　イセトーにランサムウェア（身代金ウイルス）を仕掛けたとされるのは、「8Base」を名乗るサイバー犯罪集団だ。集団のサイトに6月3日ごろ、イセトーの名前が掲載され、同時に公開されたファイルに同社の取引先情報が含まれていたことが判明し、事案が発覚した。

　イセトーのように各地の自治体や企業から業務を受託する組織が狙われると、サイバー攻撃の被害が一気に広がる。顧客のデータを1カ所に集めるクラウドサービスなども同様のリスクがあると、以前から指摘されている。

　ランサムウェアをめぐっては、出版大手KADOKAWAでも6月、同社グループの情報が外部に流出する被害が起きており、業務に深刻な影響が出ている。イセトーとは別のサイバー犯罪集団が犯行声明を出した。（編集委員・須藤龍也）

流出が確認されたか流出の恐れのある主な自治体・企業など

・愛知県豊田市　氏名、住所、税額、保険料など延べ約42万人分

・和歌山市　市・県民税の関係データ約15万1千件

・徳島県　氏名、住所、税額、車のナンバーなど約14万5千人分

・神奈川県藤沢市　市長選の投票所入場整理券の画像データ76人分

・東京都大田区　がん検診受診券の画像データ46人分

・クボタ（大阪市）　グループ信販会社の利用明細・請求書データ約6万1千人分（法人など含む）

・東海信金ビジネス（名古屋市）　愛知など4県26信用金庫の氏名約7万7千件

・京都商工会議所　企業の口座情報の一部など延べ約4万1千件

・パナソニック健康保険組合（大阪府守口市）　保険証番号、医療機関名、医薬品名、薬局での負担額など約1万3千人分