金融機関や保険会社、地方公共団体などの情報処理サービスを手がけるイセトー(京都市)は2024年7月、「ランサムウェア」に感染し、取引先から預かっている個人情報が流出しているのを確認したことを公式サイト上で明らかにしました。流出した個人情報は約150万件に上るとみられます。これを受けて業務を委託していた自治体や企業から被害状況の発表が相次ぎました。
イセトーとは
イセトーの公式サイトによると、イセトーは1855年(安政2年)、初代藤七が京都市三条通西洞院西入に和洋紙の卸小売を行う「伊勢屋商店」を創業。通称伊勢屋藤七、略して「伊勢藤」と呼ばれ現在の社名の由来となったといいます。
1923年(大正12年)、巻取紙加工を開始。1953年(昭和28年)からは国内初のビジネスフォーム(コンピュータ用連続用紙)の製造に成功しました。
1979年(昭和54年)からは情報処理サービスを中心とするアウトソーシング業務へ業務を転換しました。その後も情報セキュリティなどに取り組み、2015年からはデジタルソリューション事業への変革を進めています。
主な取引先として、都市銀行、信託銀行、地方銀行、労働金庫、信用金庫、生命保険、損害保険、地方公共団体、政府機関、クレジットカード会社、リース会社、電力・ガス・CATV会社など3000社に上るといいます。
イセトーでランサムウェア被害 個人情報が漏洩
イセトーの公式サイトによると、2024年5月26日、当社の複数のサーバー、PCが暗号化されるランサムウェアによる被害が発生していることを確認したといいます。
6月18日になって、攻撃者グループのリークサイトにおいて、窃取されたと思われる情報のダウンロードURLの出現を確認したといいます。7月3日時点では、ダウンロードファイルは消失しており、ダウンロードができない状態となっているといいます。
イセトーは「引き続き外部専門家とともにリークサイトと併せて、継続的な監視を行っております」と説明しています。
個人情報の漏洩が確認された・漏洩の可能性がある委託元一覧
個人情報の漏洩は、全国各地の企業・自治体に広がっています。イセトー経由で個人情報の漏洩が確認された、または漏洩の可能性がある企業・自治体は以下の通りです(順次更新します)。
このほか、イセトー経由と明言せずに、個人情報の漏洩や業務の遅延について公表している企業も複数あります。
愛知県豊田市
愛知県豊田市の公式サイトによると、市県民税、軽自動車税、固定資産税、都市計画税及び国民健康保険税の各納税通知書、新型コロナ予防接種券など103万5603件が漏洩したといいます。データには、氏名、住所、税額、生年月日、保険料、口座情報等が含まれていました。
徳島県
徳島県の公式サイトによると、令和5年度自動車税の印刷データや令和4年度減免自動車の現況報告書など約14万5000人(約20万件)の個人情報の漏えいが確認されたといいます。
データには、氏名、住所、税額、登録番号(車のナンバー)が含まれているといいます。
和歌山市
和歌山市の公式サイトによると、「令和5年度市・県民税特別徴収税額決定通知書」の封入封緘業務を委託していたイセトーから、サイバー攻撃によりファイルサーバーがコンピューターウイルスに感染し、15万1421件の情報が窃取されたと報告があったことを公表しました。
流出した個人情報には、住所、氏名、課税情報が含まれていたといいます。
クボタクレジット
クボタグループの信販会社クボタクレジットの発表資料によると、2022年9月度の利用明細·請求書印刷用データに含まれる氏名、住所、利用·請求明細(商品名、金額、支払回数等)、引落口座情報の一部(金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号)などが漏洩したといいます。
個人のほか、法人や団体等の名義のものも含めて6万1424人に上るといいます
東海信金ビジネス
静岡県、岐阜県、愛知県、三重県に本店を有する信用金庫全34金庫信金の業務の一部を手がける「東海信金ビジネス」の発表資料によると、東海3県と静岡県にある計26の信用金庫の顧客氏名、延べ約7.7万人分の個人情報が漏洩したといいます。
データには、2023年9月時点のダイレクトメール作成時に出力されるログデータ上の氏名が含まれていたといいます。多くの信金は、それぞれの公式サイトで漏洩について公表しています。
京都商工会議所
京都商工会議所の公式サイトによると、2022年度1号議員選挙にかかるデータや、2022年度下期会費請求にかかるデータの情報漏洩が確認されたといいます。
流出したデータには、4.1万人に上り、会社名・屋号、登録された代表者役職、代表者氏名などが含まれていたといいます。
パナソニック健康保険組合
パナソニック健康保険組合の発表資料によると、2022年6月30日に委託業者に提供した「ジェネリック差額通知データ情報」(住所、被保険者名、受診者名、保険証番号、事業所名、診療年月、医療機関名・調剤薬局名、医薬品名、自己負担額)1万3150人分の漏洩が発覚したといいます。
マニュライフ生命
マニュライフ生命の公式サイトによると、2022年9月末から10月初旬に、電子申込で委託先にデータを連携した契約の一部(1082件)が漏洩したといいます。
データには、氏名、生年月日、住所、電話番号、申込番号、Eメールアドレス、預金口座情報(口座番号の下3桁は「***」表示)、年収情報などが含まれていたといいます。
日本生命
日本生命の発表資料によると、拠出型企業年金保険の加入者(1団体・11人)の名前、生年月日、性別、加入内容等で情報漏洩が確認されたといいます。
京都市
京都市の公式サイトによると、再委託業者が納税通知書の再プリントを委託先に依頼する際に作成していた一覧表データ(納税義務者氏名、車両番号)、2023年度分176件、平成2019年度分1件の計177件(159人分)で漏洩があったといいます。
愛媛県
愛媛県の公式サイトによると、2023年度の個人事業税納税通知書など80人分の個人情報の漏洩が確認されたといいます。
東京都大田区
東京都大田区の公式サイトによると、2024年度がん検診受診券の画像データ(対象者の氏名、住所等)46人分の個人情報漏洩のおそれがあるといいます。
東京都教育委員会
東京都教育委員会の公式サイトによると、2023年度の就学支援金受給資格認定審査等に係る生徒19人と、その保護者18人の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)の個人情報が流出した可能性があるといいます。個人情報が含まれていたデータには、パスワードを設定していたと説明しています。
西京信用金庫
西京信用金庫の発表資料によると、出資配当金支払通知書の画像データ(氏名、住所、郵便番号、出資金額等)を含む出資会員情報18件が漏洩した可能性があるといいます。
公文教育研究会
公文教育研究会の公式サイトによると、会員の個人情報(氏名、住所、電話番号、会員番号、「iKUMONサイト」の認証コード/セキュリティコード)や、指導者の個人情報(氏名、住所、電話番号、口座情報、指導者番号)の漏洩が確認できているといいます。「対象者と漏えいした個人情報の内容、その他詳細については現在調査中です」と説明しています。
三菱UFJ信託銀行
三菱UFJ信託銀行の公式サイトによると、窃取された疑いのあるデータの一部に、顧客の個人情報(おもに郵便番号、住所、氏名)が含まれている可能性があると明らかにしました。
「実際の情報流出の有無および範囲の特定には専門的分析が必要なことから、イセトーでは外部専門家による調査を進めております。対象となるお客さまには、イセトーによる調査の状況・結果を報告してまいります」と説明しています。
三井住友海上あいおい生命
三井住友海上あいおい生命の発表資料によると、窃取された疑いがあるデータの一部に、顧客の個人情報(主に郵便番号、住所、氏名)が含まれていた可能性があるとして、現在、詳細の確認をしているといいます。
伊予銀行
伊予銀行の公表資料によると、氏名、住所、電話番号、口座番号、取引金額等の情報が漏洩している可能性として調査を進めているといいます。