自治体の印刷代行で「一強」、イセトーは契約に反し業務後もデータ削除せず…個人情報１５６万件流出

　自治体や企業が印刷業務などを委託していた情報処理サービス会社「イセトー」（京都市）がサイバー攻撃を受けた問題で、流出した個人情報は少なくとも２４組織の約１５６万件に上る。イセトーが契約に反して業務後にデータを削除していなかったとして、委託元の自治体が損害賠償請求を検討する動きもある。

放置

　「きちんと消去していれば被害は防げたはずで、過失は重大だ」。同社に納税通知書などの印刷業務を委託し、約１０３万件の個人情報が流出した愛知県豊田市の担当者はこう話す。

　流出したのは市民税・県民税の納税通知書などに記された約４２万人分の氏名や税額など。ダークウェブ（闇サイト）で一時、閲覧可能な状態だった。同社から印刷業務が終わる度に「データを消去した」と連絡を受けていたが、実際は契約に反して放置していたという。市には市民らから「私の個人情報も含まれるのか」「悪用の危険は」など１９９件の問い合わせが相次ぎ、損害賠償請求を含め対応を検討している。

　自動車税の督促状などの作成を委託していた徳島県では納税者の氏名や車のナンバーなど約２０万件が流出。個人情報は契約上、外部からアクセスできないサーバーに保存すべきだったのに、同社から怠っていたとの報告があったという。

　個人情報約１５万件が漏えいした和歌山市や企業情報約１万３０００件が流出した京都商工会議所でも、業務終了後のデータ未削除が確認されたという。

犯行声明

　イセトーの広報資料などによると、５月２６日に複数のサーバーやパソコンの情報が暗号化され、身代金要求型のウイルス「ランサムウェア」に感染したことが判明。６月３日頃に「８Ｂａｓｅ（エイトベース）」を名乗るハッカー集団が犯行声明を出した。

　情報セキュリティー企業「トレンドマイクロ」（東京）によると、エイトベースはロシア語圏の犯罪グループとみられ、２０２２年頃から米国や欧州の企業にランサムウェア攻撃を仕掛け、今年３月までの１１か月間で３３５件の被害が確認された。４月以降は日本の中小企業も標的にされ、イセトーを含む９件の被害があったという。

被害拡大

　イセトーは印刷と発送の代行事業で知られ、１９７０年代から情報処理サービスを手がける。関係者によると費用の安さなどから、業界では「一強」状態という。ホームページ（ＨＰ）では、取引先は公的機関や銀行、企業など約３０００に上り、個人情報の取り扱いが適切であることを示す「プライバシーマーク」を取得したとしている。

　今回の問題では、自治体や企業から業務を受託する組織がサイバー攻撃を受けると、被害が広がるリスクが鮮明になった。

　情報セキュリティー会社「Ｓ＆Ｊ」の三輪信雄社長は「事務の委託先からこれほど大量の個人情報が漏えいした事例は非常に珍しい。情報の保存方法に問題があり、被害拡大につながったのではないか。自治体なども委託先の情報管理の状況を具体的に聞き取ることが重要だ」と話す。

　イセトーは７月上旬、ＨＰで「現在も調査中で、判明した取引先から順次報告している」としたが、被害の全容は明らかになっていない。読売新聞の取材には「顧客対応を優先するため」などとして応じていない。