2024 年 9 月 9 日
株式会社クボタ
株式会社クボタクレジット
「業務委託先への不正アクセスによる個人情報漏えい」に関する調査結果と再発防止策
2024 年 7 月 1 日に公表いたしました、業務委託先への不正アクセスによる個人情報漏えい事案につきましてお客様に多大なるご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。
当該業務委託先が複数のセキュリティ会社と共同で行っておりました、情報漏えい拡大リスクの有無および 漏えいの原因についての調査結果と、国内のクボタグループの再発防止策につきまして、以下の通りご報告 申し上げます。
記
1.本事案の経緯と概要(2024 年 7 月 1 日公表済)
2024 年 5 月 26 日に当社グループの信販会社 株式会社クボタクレジットが利用明細等の印刷・発送を委託している株式会社イセトー(以下、「イセトー社」という。)のサーバーやパソコンがランサムウェアに感染し、同 6 月 26 日にはクボタクレジットのお客様の個人情報が漏えいしたことが確認されました。
(1)漏えいしたデータの種類
2022 年 9 月度の利用明細・請求書印刷用データ
(2)含まれる個人情報
氏名、住所、利用・請求明細(商品名、金額、支払回数等)、引落口座情報の一部(金融機関名、名義、 特定できないように数ケタを伏字に加工した口座番号)
※なお、上記以外に電話番号などのお客様からお預かりしている情報の漏えいは確認されておりません。
(3)対象となるお客様の数
61,424 名(個人のほか、法人や団体等の名義のものも含みます)
2.情報漏えい拡大リスクの有無について
イセトー社および複数のセキュリティ専門会社による調査の結果、7 月 1 日に公表した内容以外の情報が 漏えいした痕跡は確認されませんでした。
3.情報漏えいの原因と当面の対応について
(1)情報漏えいの原因
本来、イセトー社に預けた印刷用の個人情報は、印刷作業用に厳重にセキュリティ対策を行った ネットワーク内のみで使用され、同社は作業終了後に速やかに消去する決まりとなっています。
ところが本事案では、印刷作業をするためにイセトー社が作成した個人情報のデータが消去されて いなかったうえ、個人情報を取り扱ってはならない通常業務用のネットワーク上に保存されていたため、 不正にアクセスされて個人情報が窃取されました。
(2)当面の対応
上記原因を踏まえ、クボタクレジットはイセトー社との間で以下の対策を行い、個人情報の取り扱いに 関する安全性を確認したうえで当面の業務委託を継続しています。
①個人情報を保存するネットワークと、それ以外の通常業務用のネットワークを完全に分離した運用の徹底
②データ消去等の業務手順を確実に遵守させるための契約条項の変更と遵守状況の定期的な確認
なお、今後の業務委託については、イセトー社が講じる再発防止策の有効性を検証し、委託先の変更も 含め引き続き検討してまいります。
4.当社グループの再発防止策
(1)委託先管理の強化
新たにガイドラインを制定し、個人情報を取り扱う業務の新規委託先および既存委託先に対し、以下の 施策を 2024 年 10 月 1 日より順次実施いたします。
①委託先に対する審査の強化
個人情報を取扱う業務を発注する際の委託先に対する審査を強化するため、委託先の情報セキュリティのレベルを確認するチェックリストをより具体的な内容に見直します。情報セキュリティのレベルの評価を 厳格化し、委託先の選別を行います。
②契約内容の見直し
①のチェックリストの項目を含む個人情報の取り扱いルールおよびその遵守、契約違反時の損害賠償 請求や監査権限の行使などの条項を追加した内容に契約を見直すとともに、委託先との間で当該契約の締結を徹底することで、委託先における情報漏えいリスクの低減を図ります。
③委託先への定期的な監査の実施
委託先に対し、個人情報管理に関する監査を定期的に実施し、情報漏えいリスクの変化を把握し、 必要に応じて改善を求めます。
(2)社内教育の強化
再発防止策に加え風化抑止策として、国内の当社グループ従業員に対し、今回の事案の振り返りや個人情報を使用する業務を社外に委託する際の注意点など、個人情報の取り扱いに特化した個人情報保護法関連研修を定期的に実施します。(2024 年 8 月 7 日から実施)
(3)関連部門間の連携緊密化による監視強化
個人情報関連法令の主管部門と情報セキュリティの主管部門の連携をより緊密化し、当社グループに おける委託先管理の方針・ルール・運用について、必要に応じた見直しを随時行っていくとともに遵守状況の監視を強化します。
※なお、日本国内以外の当社グループは、所在地の法令等に従ってそれぞれ対応してまいります。
5.その他
当社はセキュリティ専門会社と連携し、ダークウェブ(リークサイト)※での情報の二次流出などがないかを 一定期間監視します。
※一般的な方法ではアクセスできず、検索エンジンで見つけることも不可能 な Web サイトの総称。
以上
