Cyber Security Intelligence Vox

RocketBoysによると『2025年3月19日、個人情報保護委員会は、株式会社イセトーに対し、個人情報保護法第147条に基づく指導を行いました。本件は、イセトーが受託していた個人情報がランサムウェア攻撃により漏えいし、ダークウェブ上に公開されるという重大なインシデントを受けての措置です。』と報道した。

報道では『イセトー社内のルールでは「個人データは業務系ネットワークでのみ取り扱う」とされていましたが、保管ルールを遵守せず、本件個人データを基幹系ネットワーク上のサーバへコピーの上、業務を行っていた事が指摘されています。その結果、攻撃者が本来侵入できないはずの個人データを取得し、外部へ流出させる事態となりました。』と報じた。

最終的に合計 3,076,477 人もの個人情報漏えい件数となっており、2024年の最大ケースだと思います。さらにランサムウェアグループ 「8Base」にもデータがリークされています。

「イセトー社はPマークとISO27001認証及びISO27017を取得していましたが、ルールが守られず実質的に適切な運用が行われていませんでした。」と報道されており、これでは何を信頼して情報を預けたら良いのか分かりません。

今後は委託先に対する情報セキュリティ管理の方法を模索する時代になるのかも知れません。

https://rocket-boys.co.jp/security-measures-lab/ppc-issues-administrative-guidance-isetoh-cyberattack-data-breach/

個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表

https://www.ppc.go.jp/news/press/2024/250319_houdou/

株式会社イセトーに対する個人情報の保護に関する法律に基づく行政上の対応について