イセトー(京都市)は9月2日、サイバーセキュリティに関する認証「ISO27001」「ISO27017」が、審査機関によって一時停止になったと発表した。同社は5月下旬、ランサムウェア攻撃の被害を発表。以降、同社に事業を委託していた自治体や企業が続々と、イセトーに委託していた業務に関する情報漏えいの可能性を発表している。
停止になったのは、同社の拠点「情報処理センター」「関西情報処理センター」に対するISO27001認証(情報セキュリティマネジメントシステムに関する認証)と、帳票の電子交付サービスや電子手続きサービスなどに対するISO27017認証(クラウドセキュリティに関する認証)。
このうち、ISO27017認証については、今回のランサムウェア攻撃とは直接関係のない認証だが、ISO27001認証に依拠して認められたもののため、一時停止の対象になったという。イセトーは再発防止策を講じ、12月の再審査を受けることで、認証停止の早急な解除を目指す。
イセトーへのランサムウェア攻撃を巡っては、京都商工会議所、クボタ子会社、和歌山市、徳島県、公文教育研究会などが、委託業務に関する情報が数万件から数十万件漏えいした可能性を明らかにしている。