6月14日付けの通知文書「業務システム障害のお知らせ」により、㈱エムケイシステムの業務用システムのランサムウェア感染に関する第一報をお伝え致しましたが、関係各位の皆様におかれましては、ご心配をおかけすることとなり、誠に申し訳ございません。深くお詫び申し上げます。
続報といたしまして、下記のご連絡を申し上げます。
1. ㈱エムケイシステムの中間報告書
㈱エムケイシステムから、6月20日付け中間報告書が発表されました。発覚の経緯、被害を受けた情報、エムケイシステム社の対応、調査・分析作業、システムの復旧状況の報告です。最も気になる「情報漏洩」に関しましては、6/8の発表の「現時点では、情報流出の事実は確認しておりません。」との表現から、「現時点ではランサムウェアにより暗号化された形跡は突き止めたものの、個人情報が外部へ送信された形跡については発見されておりません。」との表現に変わっております。
2. 個人情報保護委員会への報告(連名での報告の同意のお願い)
6月19日に当労働保険事務組合の上部団体である「全国労働保険事務組合連合会」より、㈱エムケイシステムの業務用システムを使用している労働保険事務組合及びその委託事業場の皆様は、個人情報保護法等の規程により、個人情報保護委員会への報告義務が生じている旨の通知がありました。
それを受け、当会としても、個人情報保護委員会への報告の準備を進めておりますが、同報告を委託事業場の皆様と当会との連名での報告とさせていただきたくお願い申し上げます。
連名で報告した場合は、委託事業場の皆様の個人情報保護委員会への報告義務はなくなります。
尚、報告書の内容としては、事態の概要(発生日、発覚日等)事実経過、顧客情報の種類、発生原因(不正アクセス)等となり、委託元の欄に委託事業場の情報(法人名・住所・電話番号)を記載する書式となっております。
つきましては、連名での報告にご同意頂けます場合は、お手数をおかけしますが、同封の「同意書」に会社名の記名と角印を押印のうえ、同封の返信用封筒、FAX、マイコモン電子会議室にてご返送くださいますようお願い申し上げます。
3. 本人通知について
個人情報保護法では、漏洩等(恐れを含みます)の事象が生じた場合には、個人情報保護委員会への報告だけでなく、本人に対して、一定の事項を通知する必要があります。
一方、不正アクセスの状況や全体像が把握できていないこともあるため、「現時点では、本人通知を行わない」という判断も考えられなくはないとの専門家の見解もあります。判断は難しいところではありますが、本人通知をする場合に必要な事項として、法令に定めるところは、以下の通りです。(本人通知ひな形)
①概要
②漏えい等が発生し、又は発生したおそれがある個人データの項目
③原因
④二次被害又はそのおそれの有無及びその内容
⑤その他参考となる事項
以上が続報となります。
委託事業場の皆様には、ご心配をおかけすることとなりました事を、改めて深くお詫び申し上げます。