エムケイシステムのランサムウェア被害、報告・通知などの対応の流れを弁護士が解説 クラウドサービス(SaaS)の情報漏えい時に、サービス提供者、ユーザー、ユーザーへの委託元が取るべき対応
IT・情報セキュリティ
2023年6月6日、株式会社エムケイシステム(以下、エムケイシステム)は、同社のサーバーが、ランサムウェアによるサイバー攻撃を受けたことを確認したと公表しました 1。
エムケイシステムは、社労士事務所などに対して、手続業務などのソフトウェアを提供する会社であり、中でも主力サービス「社労夢」は、2023年4月時点で管理事業所数が約57万事業所、管理する在職者数が約826万人にのぼります。
そのため、本事案において同社サーバーから個人情報が漏えいしたおそれがあると発覚したことにより、サービスのユーザーである事業者と、さらにそのユーザーに業務を委託していた事業者に個人情報保護委員会への報告義務が生じるなど、影響は広範囲に及んでいます。
本事案におけるエムケイシステムの対応をどう受け止めているか、また、同様の事件が発生した際に事業者(サービスの提供者、サービスのユーザー、ユーザーへの委託元)はどのような対応をとればいいのかについて、個人情報に関わる実務に詳しい牛島総合法律事務所の影島広泰弁護士に聞きました。
ランサムウェア被害発覚後のエムケイシステム(サービスの提供者)の対応
エムケイシステムが「当社サーバへの不正アクセスに関する調査結果のご報告(第3報)」(以下、第3報)2 で公表している、ランサムウェア被害を把握してからの一連の対応について、内容や手順、スピード等はどのように捉えられますか。
2022年4月1日に施行された令和2年改正個人情報保護法により、個人データの漏えい、滅失または毀損など(以下、漏えい等)とそれらのおそれであって、以下の①~④のいずれかに該当するものが発生した場合には、個人情報保護委員会に報告し、また本人に通知することが義務づけられました。
- 要配慮個人情報が含まれる個人データの漏えい等が発生した、または発生したおそれがある場合
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生した、または発生したおそれがある場合(例:クレジットカード番号が漏えいした場合)
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生した、または発生したおそれがある場合(例:ハッカーの侵入、内部不正)
- 1,000人を超える漏えい等が発生した、または発生したおそれがある場合
本事案は、第三者による不正アクセスを受けてランサムウェアに感染していますので③に該当するほか、④にも該当したものと考えられます。
個人情報保護委員会への報告は、「速報」と「確報」の2回行わなければならないとされており、「速報」は漏えい等を知った時点から「概ね3~5日以内」(初日参入)、「確報」は漏えい等を知った時点から「30日以内」(初日参入。上記③の場合には60日以内)に行うことが義務づけられています。
第3報によれば、エムケイシステムが漏えい等のおそれを知ったのは2023年6月5日であり、個人情報保護委員会への速報を行ったのは6月8日です。これは、知った時点から4日間で速報をしていることになりますので、スピードに問題はないと考えられます。確報も7月19日に行っているとのことですので、これも60日以内であり問題ありません。
本人への通知については、どのように行ったのかはプレスリリース等からは明らかではありませんが、法的な義務ですので対応する必要があります。
対外的な公表は、個人情報保護法上は義務であるとはされていません。もっとも、今回は漏えい等を知った翌日である6月6日には「第三者によるランサムウェア感染被害のお知らせ」3 を適時開示し、その後も適時にリリースを行っていますので、適切な対応であるといえるでしょう。
またエムケイシステムは、概ね1か月程度でサービスを順次再開しています。警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」4 によれば、ランサムウェアに感染した場合に1か月未満で復旧できた企業は51%しかありませんので、一般的な復旧時間だといえると思われます。
第1報から第3報の内容について、特筆すべき点があれば教えてください。
本事案は、企業が従業員情報の取扱いを委託している社労士事務所等が利用していたサービスからの情報漏えいのおそれが生じた事案です。第3報によれば「ユーザー数」は約3,400とのことですので、約3,400の社労士事務所等が預けていたデータに漏えい等のおそれが発生したということになります。
1つの社労士事務所等がどの程度の人数のデータを預けていたのかは明らかでありませんが、極めて多数にのぼる従業員情報について漏えい等のおそれが発生していると考えられます。また、その内容には、社会保険や労災保険など、機微な情報が含まれていると思われます。
しかし、第1報から第3報を見ても、「誰の」「どのような情報が」「何件くらい」漏えいしたおそれがあったのかが記載されていないことは特筆すべき点といえるでしょう。委託元である企業が従業員個人に通知すべきことであると考え、エムケイシステムは問い合わせの窓口を用意してそこに誘導するのが適切であると判断したのかもしれませんので、一概に問題だとはいえませんが、我々個人がエムケイシステムのリリースを見ても、問い合わせをすべき対象者かどうかがわからない点は、やや異例であるように思われます。
一部の報道 5 では、エムケイシステムからユーザーに「サービス利用者である社労士事務所が報告義務を負わなくていいように個人情報保護委員会への働きかけをしている」との連絡があったものの、後にこうした「報告が免除される可能性」については誤った認識だったとして、混乱を招いたことをユーザーに謝罪した旨が伝えられています。エムケイシステムがこのような対応に至ったのにはどのような背景があったと考えられますか。
たしかに、個人情報保護法によれば、委託先で漏えい等が発生した場合、委託先は、委託元に通知をすれば、報告・通知義務を免れることになります(同法26条1項但書)。しかし、逆にいえば、社労士事務所等は、個人情報保護委員会への報告および本人への通知か、委託元への通知かのいずれかは行わなければならないのであって、何もしなくてよいようにすることは法律上できません。
法的には各社労士事務所等が報告・通知を行う形としつつも、物理的にはエムケイシステムが一括して報告・通知を行う方法を模索したのではないかとも思われますが、個人情報保護委員会へ働きかけをしたところでユーザーの社労士事務所等が報告・通知義務を免れることはできませんので、説明の仕方に問題があったように思われます。
「サービスのユーザー」と「ユーザーへの委託元」がとるべき対応
サービスのユーザーである事業者(本事案における社労士事務所等)は、自社が使用するクラウドサービスで個人データが漏えいした(おそれがある)場合、どのような対応をとるべきでしょうか。
個人情報保護委員会の通則ガイドライン 3-5-2 6 により、個人データの漏えい等が発生した場合には、以下の措置を行うことが義務づけられています。
- 事業者内部における報告および被害の拡大防止
- 事実関係の調査および原因の究明
- 影響範囲の特定
- 再発防止策の検討および実施
- 個人情報保護委員会への報告および本人への通知
個人情報保護委員会への報告および本人への通知は、漏えい等発生時に行わなければならない5つの措置のうちの1つに過ぎず、ほかにもやるべき措置が4つあることには留意が必要です。
サービスのユーザーである事業者が、①個人情報保護委員会に報告すべき事項、②クライアント(エンドユーザー)に報告すべき事項、③本人に通知すべき事項、④自社サイト等で広報すべき事項としては、それぞれどのようなものがあげられますか。
①個人情報保護委員会への報告事項は以下のとおりです。
(2)漏えい等が発生し、または発生したおそれがある個人データの項目
(3)漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
(4)原因
(5)二次被害またはそのおそれの有無およびその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
②委託先(本事案の社労士事務所等)が報告・通知義務を免れるために委託元(社労士事務所等のクライアント)に通知すべき事項も、①と同じです。なお、委託先と委託元が連名で公表・通知することは構わないとされています。
③本人への通知事項は以下のとおりです。
(2)漏えい等が発生し、または発生したおそれがある個人データの項目
(3)原因
(4)二次被害またはそのおそれの有無およびその内容
(5)その他参考となる事項
④自社サイト等で広報する場面については、法的には2つ考えられます。1つは、本人への通知が困難である場合に「代替措置」として公表する場面です。この場合、公表すべき内容は、基本的に③に記載した本人への通知事項となります。
もう1つは、公表は義務づけられていないものの、任意に公表する場面です。個人情報保護委員会の通則ガイドラインでは、漏えい等が発生した場合の対応として、「漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい」7 とされていますので、「事実関係及び再発防止策等」を公表するのが典型的な対応になります。
サービスのユーザー(本事案における社労士事務所等)のクライアントにあたる事業者は、業務の委託先(社労士事務所等)が使用しているクラウドサービスにおいて個人情報が漏えいした(おそれがある)場合、どのような対応をとるべきでしょうか。
委託先から個人データが漏えい等した場合、委託元である事業者は、個人情報保護委員会への報告および本人への通知が義務づけられています。個人情報保護委員会への報告や本人への通知、自社サイト等での公表を行う情報については、前述の本事案における社労士事務所等の場合と同様です。
クラウドサービスの提供事業者(本事案におけるエムケイシステム)は、個人情報が漏えいした(おそれがある)場合、サービスのユーザー、およびその先のクライアント等に対して、どのような法的責任を負う可能性が考えられますか。
サービスのユーザーである社労士事務所等との関係では債務不履行責任、その委託元である事業者および本人との関係では不法行為責任を負う可能性があります。
また個人情報保護委員会や提供サービスのユーザーに報告すべき事項、および自社サイト等で公表する情報については、前述の本事案における社労士事務所等の場合と同じです。
リスク軽減のための法務としての備え
本事案を参考として、企業の法務担当者は日頃からどのような対応や備えを行うべきでしょうか。
個人データが漏えい等した場合、本人に通知する作業が大きな負担となります。たとえば、1万人分の個人データが漏えいした場合、1万人に連絡し、問い合わせ等に対応しなければならないことを意味します。個人データを第三者に閲覧される前にすべてを回収した場合には「漏えい」にはあたらないとされていますので、万が一、スマホやPCを置き忘れた場合にはすぐに回収するよう社内に徹底することが重要であるといえます。法務担当者としては、社内規程に反映したうえで、コンプライアンス研修などで徹底しておくとよいでしょう。
また、個人情報保護法施行規則により、暗号化等の適切な措置が講じられている場合には、報告・通知義務の対象ではないとされています。具体的には、電子政府推奨暗号リストにある暗号を用いて、復号鍵を適切に管理されていることなどが要件となっています。システムの開発・導入の際には、要件定義の段階で法務が関与する必要が出てきているように思われます。
-
株式会社エムケイシステム「第三者によるランサムウェア感染被害のお知らせ」(2023年6月6日、2023年8月14日最終確認) ↩︎
-
株式会社エムケイシステム「当社サーバへの不正アクセスに関する調査結果のご報告(第3報)」(2023年7月19日、2023年8月14日最終確認) ↩︎
-
株式会社エムケイシステム・前掲注1) ↩︎
-
警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(2023年3月16日、2023年8月14日最終確認) ↩︎
-
ツギノジダイ「「社労夢」のエムケイシステム、ランサムウェア被害で個人情報漏洩の恐れ」(2023年6月13日、2023年8月14日最終確認) ↩︎
-
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2016年11月、2022年9月一部改正) ↩︎
-
個人情報保護委員会・前掲注6)3-5-3 ↩︎
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー