2023年6月に入って立て続けに日本国内のクラウドサービスがランサムウェアに感染してサービスを停止しました。それらしきものは3件あるのですが、明確に「ランサムウェアに感染した」事を発表しているのは2件(残り1件は「マルウェアに感染」という表現をしています)なので、その2件の話題を先に取り上げてみたいと思います。
まず1件目は社会保険労務士や企業の人事部門が使うクラウドサービスを提供している株式会社エムケイシステムになります。
こちらは取り扱っている情報が社会保険労務士の顧問先企業の従業員情報だったり、企業が直接契約している場合には、その企業の従業員情報だったりするため「単に使えない」というレベルの話ではなくなっていて、個人情報保護委員会への報告義務はどこにあるのかで話題になっています。当初は「株式会社エムケイシステム」にあると考えていた社会保険労務士や企業の人事担当者が多かったのではないでしょうか?
ところが、個人情報保護法ガイドライン(通則編)3-5-3-2 報告義務の主体の項を読むと以下のように記載されています。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。
個人情報保護法ガイドライン(通則編)
ちなみに株式会社エムケイシステムはシステムを提供しているのみであるため「個人情報取扱事業者には当たらない」のだそうで、先の項に当てはめると「システムを使って個人情報を取り扱い、その業務を企業から委託を受けている」社会保険労務士(事務所)と、「社会保険労務士に業務を委託をしている」顧問先企業が個人情報取扱事業者に該当するそうで、報告義務はその両者に発生する事になります。企業が直接契約している場合には当該企業のみに報告義務が発生する事になります。ちなみに、個人情報保護委員会への報告義務の他にも、該当する本人への連絡も必要になります。
報告は「速報(認知してから3〜5日以内)」と「確報(認知してから30日以内)」に行う必要があります。
システムを直接使っている社会保険労務士だったり企業は理解できると思いますが、社会保険労務士と顧問契約を結んでいる企業にまで及ぶというのは想定外かもしれませんし、そういう企業にとっては「寝耳に水」という感じかもしれません。ある意味、丸投げしているはずなのに突然降ってきた災難みたいな印象を持つ経営者もいらっしゃるかもしれませんね。
2件目はメール周りのセキュリティ関連ツールをクラウドで提供している株式会社プロットになります。
こちらについては現在のところ個人情報の漏洩の可能性は無いようではあります(特に言及されていませんので)が、最新報では「ソースコード情報及び、社内システムに格納されていた情報」がダークウェブで公開されたとの事なので予断を許さない状況ではあるかと思います。社内システムに格納されていた情報であれば万一個人情報が含まれていたとしても先の例とは異なり個人情報取扱事業者は株式会社プロットになるため、利用している企業への影響はなさそうです。
3件目はエネルギー事業者向けクラウドサービスを提供しているパーパス株式会社になります。
こちらに関しては「マルウェアに感染(ランサムウェアもマルウェアの一種ではありますが)」との事なのと、最新報ではデータベースへの不正アクセスは無かったと言いきっているので情報漏洩は無いと考えて良いのかもしれません。
ただ、以上の3例のいずれもが利用者への影響が非常に大きく、利用者側企業の業務が停止する事態を招いたりしているほか、暫定的にサービスの提供を再開したものの、とても使い物になるものではないため他社への乗り換えを行う企業も出てきているとの情報もあり、サービス提供側にとっては顧客を失う事態になっている例もあるようです。
クラウドサービスを利用している企業側としては(弊社もそうですが)「セキュリティ対策は万全」な形でサービスを提供しているのだという認識はあるでしょうし、明文化されてはいないものの、そういう前提での信頼関係に基づいて契約しているのですから、その信頼を裏切ったという意味では非常に重い事件だと言っても良いでしょう。
また、事業継続性という観点に立った場合、クラウドサービスを提供している事業者の中には「災害が少ない地域のデータセンターを使っているから、分散配置はしていない」という事業者もあることから、そういう事業者のサービスを使う場合には今回のような想定外の事態が発生する可能性もあるのだという事を認識しておく必要もありそうです。
今まで以上にクラウドサービス事業者のチェックを厳しくする必要があるかもしれません。ただ、多くの事業者は情報公開を渋るのですけどね。