愛知県豊田市は7月4日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、推計で約42万人分の個人情報が漏えいした可能性があると発表した。本来は削除すべきだった情報をイセトーの担当者が削除しておらず、漏えいの可能性につながったという。
漏えいした可能性があるのは、市県民税や軽自動車税、固定資産税などの通知書や、新型コロナ予防接種券、子育て世帯臨時特別給付金申請書など。書類には氏名、住所、税額、生年月日、保険料、固定資産の所在地、マスキングされた口座情報などが含まれていた。電話番号やマイナンバーは含まない。詳細な内訳は以下の通り。漏えいした可能性のある情報の悪用は確認していないという。
豊田市は「イセトーからの報告によると、各通知書などにかかるシステム改修用データなどについて、同社の担当者が本来業務終了後消去するべきところを消去せず、当該データが流出した」としている。
イセトーへのランサムウェア攻撃を巡っては、他にも京都商工会議所、クボタ子会社、和歌山市、徳島県などが同様の発表をしており、それぞれ数万件から十数万件の情報が漏えいした可能性があるとしている。このうち和歌山市や徳島県は、豊田市と同様に契約終了後もデータが削除されていなかったと発表している。
このうち徳島県は、原因となるランサムウェアは「8Base」とする報告をイセトーから受けているという。イセトーは個人情報の取り扱い体制について評価するプライバシーマーク制度やISMSの認証を受けている。