全3065文字

金融機関や自治体などから委託された通知書などの印刷・発送業務で、第三者から不正アクセスされ、307万6477人分の個人データが漏洩した。窃取されたファイルはダークウェブ上に公開された。個人データの取り扱いルールなどに不備があったことが原因だ。個人情報保護委員会(個情委)は本件について行政指導を公表し、警鐘を鳴らす。

 情報処理サービスなどを手掛けるイセトーは、金融機関や地方自治体といった団体から委託を受けて、様々な通知書の印刷・発送業務のために使う個人データを預かっていた。2024年5月に第三者から不正アクセスされて、通知書の内容や発送先の個人データが漏洩したり毀損したりした。個人データを含む電子ファイルがランサムウエアによって暗号化され、窃取されたファイルがダークウェブ上に公開された。

 個情委は2025年3月にイセトーへの行政指導を公表した。それよると、ファイルに保存されていた個人データは、通知書に記載される氏名や住所など。委託元には健康保険組合のジェネリック差額通知書もあり、服薬などの医療関係の要配慮個人情報も含まれていた。金融機関の通知書には確定拠出年金やローン残高の金額があり、地方公共団体の納税通知書には税額情報もあった。

 漏洩などの影響を受けた個人データは、民間企業など32団体、行政機関などの9団体のほか、再委託元を含めると約100団体が管理していた計307万6477人分に上る。

 イセトーはこの件について「一律に取材は受けかねる」として取材に応じない。一方、個情委は、地方自治体など委託元にとっては個人情報の取り扱いについて「国民に対する透明性や信頼性の確保の観点を考慮すべきである」としてイセトーへの指導内容を公表した。企業なども参考にすべき点がある。