事故から学ぶ

大阪府委託先サーバーへ不正アクセス、2万4千件の迷惑メールが送信

事故概要

業種 大阪府 地方自治体 業務受託会社
発生時期 2018/10/10-2018/10/16
漏えい人数 24,000人
事故概要

「おおさか結婚縁ジョイパス事業」で使用していたサーバに不正なアクセスがあり、メールアカウントが不正に利用されていたことにより、約2万4千件の迷惑メールが送信される事案が発生。本サーバ内における個人情報の流出がないことは確認。また、迷惑メールへの返信及びメールに記載されているURLへのアクセスによる被害報告は受けていない。
委託事業者において、委託事業終了時に当該メールアカウントを速やかに廃止すべきところ、廃止していなかった。また、子ども室においても完了検査等において当該メールアカウントの廃止について確認していなかったため、当該メールアドレスが不正使用された。

引用元 大阪府発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
3-22 社内規則の整備

チェックリストにある要求ルール:

契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?個人情報は同意を得られない限り第三者提供しないことを守っていますか?
委託会社が勝手に再委託しないように契約しかつ管理していますか?
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか?

■ 推奨対策

対策:

2018/3/31に契約終了した委託先サーバ管理会社が、大阪府の当該メールアドレス削除を行わず、管理されないままサーバ内に保管されていたことが指摘されている。委託事業者におけるメールアカウントの変更時や事業の終了時など、当該メールアカウントが不要となった際には速やかに廃止させる管理の徹底が必要である。

具体例:

契約が円満終了であれば良いが、何かの不調で解約する場合に、秘密情報やデータ消去削除確認が疎かになるケースが多い。現実的には委託元がアクセスできる相手サーバの中にあるデータを消去することが推奨されているが、バックアップサーバまで委託元が入り込んで消去することがないため、確認が疎かになる。このような場合を想定し、予め契約書に「本番及びバックアップサーバの削除完了報告書」の提出を義務づけて、契約完了時に備えておくことが望ましい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。