徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……

　徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。

　漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人（13万2503人分）のもので、4万6022件が法人（7691組織分）のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件（同人数分、いずれも個人の情報）と、氏名、住所、還付額の書かれた22年度還付充当通知書1件（同）も漏えいした可能性がある。

　徳島県は、イセトーの事務処理には不適切な点があったと発表している。イセトーの社内ネットワークは業務系と基幹系の2系統に分かれており、ランサムウェア攻撃にあったのは基幹系だった。本来、徳島県の個人情報を取り扱うのは業務系のはずだったが、イセトーは基幹系で扱っていたという。また、イセトーとの22年度、23年度の契約は終了しており、すでに個人情報を削除した旨の報告書を受け取っていたものの、実際には削除されていなかったとしている。

　イセトーへのランサムウェア攻撃を巡っては、他にも京都商工会議所、クボタ子会社、和歌山市などが同様の発表をしており、それぞれ数万件から十数万件の情報が漏えいした可能性があるとしている。このうち和歌山市は、徳島県と同様に契約終了後もデータが削除されていなかったと発表している。

　徳島県によれば、原因となるランサムウェアは「8Base」だとする報告をイセトーから受けているという。イセトーは個人情報の取り扱い体制について評価するプライバシーマーク制度やISMSの認証を受けている。