印刷業務委託先のランサムウェア被害について（第2報）

令和6年6月6日（木）、本県が納税通知書等作成業務を委託している事業者（以下「委託先」といいます。）から、ランサムウェア被害が発生し、個人情報漏えいのおそれがある旨の報告を受け、同日付で資料提供したところです。
その後、委託先が被害の調査を進めた結果、この度、約14万5千名（約20万件）の個人情報の漏えいが確認されましたので、深くお詫びするとともに、現在、確認出来ている状況をお知らせします。なお、他自治体及び民間企業でも同様の被害が確認されています。

なお、6月6日（木）に公表した88名（96件）のデータについては、現時点では情報漏えいは確認されていません。

株式会社イセトー（本社：京都市中京区烏丸通御池上ル二条殿町552）
URL:https://www.iseto.co.jp/

・令和6年5月28日(火)
委託先から報告：「5月26日（日）にランサムウェア被害を受けたが、ネットワーク分離により被害は確認されていない。」

・令和6年6月 6日(木)
委託先から報告：「個人情報を含むデータ流出の恐れがある。」（7日、対象者リスト（88名96件）の提供あり）
本県の対応：資料提供

・令和6年6月 7日(金)
本県の対応：88名（96件）の個人情報漏えいのおそれについて、総務省に本事案の報告を行う。

・令和6年6月10日(月)
本県の対応：88名（96件）の個人情報漏えいのおそれについて、個人情報保護委員会に本事案の報告を行う。

・令和6年6月10日(月)
委託先から報告：「今回の攻撃をランサムウェア「8Base」と特定した。」

・令和6年6月18日(火)
委託先から報告：「午前11時頃に攻撃者グループのダークウェブ（リークサイト）上にダウンロードURLの出現を確認した。」「調査及び内容の解析を開始する。」

・令和6年6月19日(水)
委託先から報告：「6月18日22時20分頃にダウンロードファイルが消失したが、引き続き、監視を続ける。」（7月3日時点でも消失を確認している。）

・令和6年6月20日(木)
委託先から報告：「外部からの侵入経路を特定。」

・令和6年7月 1日(月)
委託先から報告：「委託先において取得した解析中のデータ内において、個人情報の漏えいが判明したデータが存在することを確認した。」

情報漏えいの原因はサイバー攻撃（ランサムウェア）によるものです。
なお、以下の点について、委託先の不適切な事務処理を確認しています。

委託先の社内ネットワークは、
 ・個人情報を取り扱うことができる業務系ネットワーク
 ・個人情報を取り扱ってはならない基幹系ネットワーク
 の2系統に分かれており、被害にあったのは基幹系ネットワークのみであった。
 しかし、個人情報を取り扱ってはならない基幹系ネットワークで、徳島県が提供した個人情報を含むデータを、取り扱って保存していた。
 さらに、本県の契約では、委託業務完了後、個人情報は削除することとしており、削除した旨の報告書を受領していたが、 実際には削除されていなかった。

改めて、このような情報漏えい事案が発生したことについて、深くおわび申し上げます。また、関係者の皆様には、御心配と御迷惑をおかけすることとなり、大変申し訳ございません。
情報漏えいが確認された対象者の方々には順次、県からお詫びとお知らせの文書を送付いたします。本事案に関して、徳島県や事業者から電話やメールで個別に御連絡することはありません。詐欺等に十分御注意ください。
本県では今回の事態を重く受け止め、事業者へのさらなる監督指導を通じ、個人情報の適正管理、情報セキュリティ体制の確保を徹底し、再発防止及び信頼回復に努めて参ります。

＜総合窓口＞
株式会社イセトー
イセトーコールセンター
03ー5877ー3953（平日 9:00～18:00）

＜委託業務に関すること＞
徳島県 企画総務部 税務課
088-621-2077（平日 8:30～17:15）

第1報についてはこちらからご確認ください。
印刷業務委託先のランサムウェア被害について