社労夢がランサムウェア被害を受けて、利用者の個人情報が流出した可能性があります。
社労夢を利用していた社労士の方には、顧客と個人情報保護委員会に対して通知をする義務があります。
以下、社労夢ランサムウェア障害の概要と、社労士の方が対応しなければいけないことについてご説明します。
社労夢ランサムウェア障害の概要
2023年6月5日に社労夢の運営元、エムケイシステムのサーバーがダウン。調査の結果ランサムウェアによる第三者からの不正アクセスを受けていることが判明。
以下のサービスが被害を受ける。
- 社労夢0
- 社労夢4
- SR-SaaS
- 社労夢 Company Edition
- ネットde 顧問
- MYNABOX
- MYNABOX CL
- ネットde 事務組合
- DirectHR
6月21日までに確認されていることは…
- 個人情報が漏洩したかどうかはわからない
- サービスが完全普及していない
- ログインができなかったり接続が途中で切れたりする
- マイナンバーを含む個人情報漏洩の可能性を東急ウェルネスが発表
- 6月末から7月上旬までに復旧目指す
社労夢ランサムウェア被害を受けた社労士は、顧客に通知をする義務がある
以下のいずれかに当てはまる場合、個人情報保護委員会への報告と本人への通知の義務が発生します。社労夢の件では三、四に当てはまる可能性が高く、社労士は個人情報を漏洩した可能性がある顧客に対して通知をする義務があります。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
社労夢ランサムウェア被害を受けた社労士が対応すべき2つのこと
個人情報漏洩があった場合、個人情報保護委員会への報告と本人への通知が義務化されています(令和4年4月1日から)。
個人情報保護委員会への報告(5日以内)
個人情報漏洩があったときから5日以内に、以下の項目を個人情報保護委員会に報告する必要があります。
一 概要
二 漏えい等が発生し、又は発生したおそれがある個人データの項目
三 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
四 原因
五 二次被害又はそのおそれの有無及びその内容
六 本人への対応の実施状況
七 公表の実施状況
八 再発防止のための措置
九 その他参考となる事項
以下の個人情報保護委員会のサイトのフォームから報告できます。
個人情報保護委員会のホームページです。個人情報の漏えい時の対応としての、報告受付フォームや報告書式や、対応のガイダンス、…
本人への通知
個人情報が漏洩した可能性がある本人に対して、以下の項目を通知する必要があります。
- 不正アクセスの概要
- 漏洩した可能性がある個人データの項目
- 原因
- 今後の対応
など
郵便やメールで本人に通知しましょう。本人と連絡が取れない場合は、HPで公表したり、問い合わせ窓口を設置したりしましょう。
詳細
個人情報保護委員会(PPC)のホームページです。令和2年改正個人情報保護法に関するリーフレットのページです…
代替システムの導入(任意)
社労夢は6月28日現在も一部サービスが利用できなかったり、つながりにくくなっていたりするようなので、他のサービスの導入を検討するのが無難です。
社労夢ランサムウェア被害に関して、情報保護委員会や本人に知らせなかったらどうなるのか?
個人情報が流出した恐れがある旨を、個人情報保護委員会や本人に知らせなかった場合、勧告や命令を受ける恐れがあります。
命令違反をした場合は、企業名が公表されるほか、行為者に対し1年以下の懲役又は100万円以下の罰金、法人に対し1億円以下の罰金が課される恐れがあります。
まとめ
社労夢を利用していた社労士の皆様は、個人情報保護委員会に通知をし、顧客に対して個人情報が流出した恐れがある旨を報告しなければなりません。サービス利用者側も被害者なのでなんとも心苦しいところですが、まだ対応されていない方がいらっしゃいましたら、対応されるようよろしくお願いいたします。