今年5月に起きた、京都に本社を置く情報処理会社であるイセトーのランサムウェア攻撃被害は国内において大きな影響を及ぼしました。イセトーは銀行や保険会社、そして自治体や官公庁を中心に情報処理、特に情報管理、それに基づく印刷及び発送を請け負う会社です。顧客として3,000以上の事業社があるとされ、通知書等の印刷発送業務では最大手とされています。今回のサイバー攻撃被害では、自治体、銀行を中心に150万件以上の個人情報が漏えいしたとされており、その件数は今も増えようとしています。イセトーの事件は何が問題、そしてなぜ影響が深刻なのでしょうか。決して150万件という件数ではなく、先月には東京ガス関連会社が400万件以上の個人情報漏洩が確認されています。また規模の大きい個人情報漏えいも珍しくなく、1,000件以上の個人情報漏洩を起こした組織は今年だけでも50件を超えています。

１．サイバー攻撃被害とその拡大

結果論ですが、問題は自社が収集しサービス対象である個人情報ではなく、委託主である他事業社が預かっている個人情報をサイバー攻撃の被害であるとはいえ、容易に漏洩を許したことです。印刷発送が主とはいえ、情報処理を生業とする会社がサイバー攻撃により、しかも大きな被害を許してしまうこと自体、大きく非難されてしかるべきです。百歩譲って、サイバー攻撃を受け、被害に遭うことは十分あり得ることかもしれません。しかしその被害を最小にとどめる対策は危機管理の上で当然のことであり、情報管理を生業としている会社であれば当然のことです。被害を最小化するために、ネットワークセグメント化やデータ転送監視制御技術等、いくつも技術が存在します。

２．広い意味での全社一体となったガバナンスの欠如

イセトーは、「お客さまの外部委託先としての責任を十分に認識し、管理体制のさらなる整備と強化に努める」と宣言し、プライバシーマークの取得、ISMS認証、帳票電子交付サービスに伴うISMSクラウドセキュリティ認証を得ています。サイバーセキュリティの十分な確保を伴っているという証左と言えます。またサイバー攻撃対策やその後の原因究明、被害復旧能力を備えた情報処理安全確保士も在籍していることを強調しています。しかるにサイバー攻撃の被害を受けただけでなく、その被害を止めることができず、拡大させています。原因究明もサイバーセキュリティ専門会社の協力を受けているはずですが、未だに被害に遭ったという事実以外報告がありません。プライバシーマーク等を得ているということは一般社員に対するセキュリティポリシーも整備され、固く順守されているはずです、今回、原因に関する報告が全くないことから確定的なことは言えませんが、セキュリティポリシーが形だけであり、まったく効果を発せず、社員も意識していない可能性があります。ポリシー以前の請負業務後の不必要な情報の削除やデータの保管や作業環境に関する契約事項も守られていなかったという事実がその可能性を物語っています。経営層、役員を含めた社員全員のセキュリティ意識に関する抜本的な見直しが必要でしょう。

３．被害後の情報開示、謝罪

今年の5月にランサムウェア感染による被害が発覚しましたが、現在でもその被害が拡大しています。イセトーに対するサイバー攻撃の被害が続いているわけではなく、被害状況の発表が五月雨式に行われ、5月29日、6月6日、そして7月3日の続報2以来、発表はなく、7月3日以降も情報漏洩の被害を受けた委託元からの発表が続いています。第2報の6月6日の時点ではイセトー自体のランサムウェア感染による事業復旧についての報告が主で、個人情報の流出は確認されていないと宣言し、流出の可能性がある業務委託元は一部であるとしています。実際多くの委託元に対して、6月6日の現時点では、ランサムウェアの被害に遭ったネットワークには業務委託元のデータは存在しないと報告があったものの、後日流出が確認されています。イセトーに対するサイバー攻撃被害が発覚後、二ヵ月以上が経つにもかかわらずその被害状況、および原因の詳細な全容とまではいかなくとも、概要だけでも、そして被害全体の把握だけでも発表すべきでしょう。

また先に経営層、役員を含めた社員全員のセキュリティ意識に関する抜本的な見直しが必要と書きました。イセトーの小谷達雄会長が7月23日に京都商工会議所の総会で謝罪したと報じられていますが、誰に対する謝罪であるのか明確ではありません。被害が全国に及んでいるにもかかわらず、情報漏洩が確認された委託元事業者の一つである京都商工会議所の会員企業に対する謝罪と捉えられても仕方ありません。しかも「私どもの不手際もあり情報流出した」と述べています。不手際という言葉は業務上での失敗やミスに対して一般的に使われる用語であり、取り返しのつかない重大な誤りに対して使われることはありません。経営層では今回の事件を非常に軽く扱っている意識が隠れ見えます。

４．そして委託側の教訓とは

イセトーは今まで3,000社以上の業務委託を受け、それゆえに信用を得ていたわけです。その信用の源は、プライバシーマーク等の政府関係機関からの、いわゆるお墨付き、そして銀行や自治体といった極めて情報保護に機微な組織からの業務委託とその実績でしょう。しかしながら大規模な情報漏洩を起こすには原因があるのです。それはランサムウェアに感染したという直接的事実ではありません。それによって被害を拡大させたいくつもの要因があるのです。今回のイセトーでは扱う期限の切れた情報の消去や情報の管理体制といった契約上の保守事項を犯していたことが判明してますが、それだけではないはずです。労働安全の分野では「ハインリッヒの法則」というものがあります。それは１件の重大事故の背後には、29件の軽い（軽症）事故、そして300件の無傷事故、つまりヒヤリハットが存在するというものです。イセトーにも過去にこのような軽微な情報漏洩や、情報漏えいには至らなくともヒヤリハットが起こっていたと類推されます。現時点では無事故無違反であって、信頼を勝ち得ている事業社であったとしても、すでに29件の軽微な事故を起こしている事業者かもしれません。委託側の教訓としては評判だけを頼りにする、つまり安易に他社に追随するのではなく、独自の評価と確認を行うべきでしょう。信頼できる第三者機関が定期的に監査することも考えられるでしょう。もちろん、プライバシーマークのように事業者が申請するのではなく、銀行法で定められる金融庁の立ち入り検査のように。