クボタとクボタクレジットがイセトーのランサムウェア感染による情報漏洩に関して調査結果を発表
2024年9月9日 株式会社クボタと株式会社クボタクレジットは、イセトーのランサムウェア感染により発生した個人情報漏洩に関しての調査結果と再発防止策を公表しました。
目次
クボタクレジットで発生した個人情報の経緯
2024年5月26日にクボタの信販会社 株式会社クボタクレジットが利用明細等の印刷・発送を委託している株式会社イセトーのサーバーやパソコンがランサムウェアに感染し、同年6月26日にはクボタクレジットのお客様の個人情報が漏えいしたことが確認。
イセトー社および複数のセキュリティ専門会社による調査の結果、7月1日に公表した内容以外の情報が漏えいした痕跡は確認されませんでした。
漏洩した個人情報の件数
2022年9月度の利用明細・請求書印刷用データで
61,424名分(個人のほか、法人や団体等の名義のものも含む)
漏洩した個人情報の項目
・氏名
・住所
・利用・請求明細(商品名、金額、支払回数等)
・引落口座情報の一部(金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号)
※上記以外に電話番号などの情報の漏えいは確認されておりません。
再発防止策
(1)委託先管理の強化
新たにガイドラインを制定し、個人情報を取り扱う業務の新規委託先および既存委託先に対し、以下の施策を2024年10月1日より順次実施。
- 委託先に対する審査の強化
- 契約内容の見直し
- 委託先への定期的な監査の実施
(2)社内教育の強化
再発防止策に加え風化抑止策として、国内の当社グループ従業員に対し、今回の事案の振り返りや個人情報を使用する業務を社外に委託する際の注意点など、個人情報の取り扱いに特化した個人情報保護法関連研修を定期的に実施。(2024年8月7日から実施)
(3)関連部門間の連携緊密化による監視強化
個人情報関連法令の主管部門と情報セキュリティの主管部門の連携をより緊密化し、クボタグループにおける委託先管理の方針・ルール・運用について、必要に応じた見直しを随時行っていくとともに遵守状況の監視を強化。
なお、日本国内以外の当社グループは、所在地の法令等に従ってそれぞれ対応。
イセトーのランサムウェア感染について
イセトーがランサムウェア(ウイルス)の感染と情報漏えい・流出、さらにサイバー攻撃による情報窃取の可能性を2024年5月29日に発表しました。なお、本インシデントに影響して各金融機関の帳票輸送サービスが停止されました。
また豊田市、京都商工会議所、和歌山県、クボタ、徳島県、KUMON(公文)の6団体だけで約110万人の個人情報が漏洩しており、全インシデントでおよそ200万件の個人情報が漏洩した可能性があります。
なおランサムウェアグループの「8Base」が不正アクセスとランサムウェア攻撃を行ったとする主張を発表しています。
引用