クボタ子会社で信販事業を手掛けるクボタクレジットは9月9日、委託先のイセトーから顧客約6万件の個人情報が漏えいした問題をめぐり、再発防止策を講じて安全性を確認した上で「当面の業務委託を継続する」と発表した。
再発防止策は、(1)イセトーが、個人情報を保存するネットワークと通常業務用のネットワークを完全に分離した運用を徹底する、(2)個人情報データの消去など業務手順をイセトーが確実に守るよう契約を変更し、順守状況を定期的に確認する――という内容。
対策の有効性を検証し、委託先の変更も含めて引き続き検討する。
イセトーは、ランサムウェア攻撃を受けて顧客情報が大量流出。クボタクレジットの情報も含まれており、2022年9月度の利用明細・請求書印刷用データで、顧客の氏名、住所、利用・請求明細、引落口座の金融機関名・名義・数ケタを伏字に加工した口座番号などが流出した。
イセトーは本来、業務情報をセキュリティ対策されたネットワーク内だけで使い、作業終了後にすぐ消去する決まりだったが、漏えい時はデータを消去しておらず、個人情報を扱ってはいけない通常業務用のネットワークに保存していたため、不正アクセスで情報が窃取されたという。
この原因をふまえてクボタクレジットは、対策を行った上で当面の業務委託は継続する。また、クボタグループとして、個人情報を扱う委託先について、審査を強化する他、契約内容に、契約違反時の損害賠償請求などの条項追加、委託先の情報管理の監査の実施などを行う。