令和5年6月21日付で、労働保険事務組合北広島町商工会が業務で利用している労働保険事務システム｢社労夢｣（株式会社エムケイシステム（以下「エムケイシステム」といいます。）提供製品）において、ランサムウェアによる第三者からの不正アクセスを受けたことを掲載させていただきました。
　その後、令和5年7月19日付で、エムケイシステムから「当社サーバへの不正アクセスに関する調査結果」の報告がありましたので概要を掲載します。
　また、個人情報保護委員会への委託元（事業者）と委託先（商工会）の双方が報告義務を負うことになっています。その際に双方の連名で報告することができます。

【エムケイシステムからの報告概要】
１．発生事象（エムケイシステム（以下「弊社」という。））
　2023年6月5日（月）未明、弊社情報ネットワーク内の複数のサーバがサイバー攻撃を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、当社サービスの対象である約3,400ユーザーの大半に対して正常にサービスを提供できない状況となり、再構築を余儀なくされる事態となりました。

２．本事案の対応経緯
　2023年6月5日（月）未明、弊社担当者が弊社のデータセンターで稼働するサーバへアクセスできないことからシステム異常を認知しました。事象を認知した後、弊社担当者がデータセンターへ入館し状況を確認した結果、弊社サービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対処を行いました。

３．情報漏洩の有無について
　調査の結果、本事案がランサムウェアによる侵害であることから、何らかのデータが攻撃者によって窃取された可能性は完全には否定できませんが、システムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータ＊が外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないかに関する調査においても当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用等の二次被害の報告は寄せられておりません。
＊登録データ項目は、利用システムによって変わりますが、共通する項目として「氏名」「性別」「生年月日」「住所」「社名」が想定されます。ランサムウェアによる侵害のため、登録データの「漏えいのおそれ（可能性）」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を実施した結果、漏えいの証拠を見つけることができませんでしたので、ご安心いただきますようご報告する次第でございます。

【個人情報保護委員会に対する連名の承諾のお願い】
　個人情報の流出の事実は確認されていない報告を受けて北広島町商工会として個人情報保護委員会へ確報を提出します。（個人情報保護法第２６条第１項）
　なお、この報告については、委託先と委託元の双方が個人情報取り扱っていることになる為、双方が報告の義務を負いますが保護法ガイドライン3-5-3-2によりますと委託先及び委託元の連名で報告することが出来ますので商工会が連名報告をすることにより貴社にご迷惑をかけることはございませんのでご承諾いただきますようお願い申し上げます。

　※個人情報保護委員会への報告、登録データ本人への通知に関する法的根拠

【本件に関するお問合せ先】
　北広島町商工会　電話　0826-72-2380
　　(受付時間：月曜日～金曜日　8：30～17：15)

　エムケイシステム個人情報お問い合わせ窓口
　　・電話番号（フリーダイヤル）0120-351-733
　　・受付時間：７月19日（水）～10月31日（火）
　　　　9:00～12:00、13:00～17:00（土日祝除く）
　　　※お電話が混み合い繋がりにくくなる可能性がございます。