個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。

 同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは情報漏えいにつながった報告も相次いでいた。

 個人情報保護委員会によれば、同年6月から24年3月25日までに受領した漏えいなどの報告件数は3067件、人数にして749万6080人分に上るという。内訳は、社労士事務所などが2459件(672万4609人分)、顧問先事業者が404件(39万2125人分)、企業が204件(37万9346人分)。

 個人情報保護委員会はエムケイシステムの安全管理措置に不備があったと指摘。例えば「ユーザーのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった」という。

 さらに「また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった」などの問題点を挙げている。

 エムケイシステムに対しては、再発防止策の確実な実施と継続的な安全管理、さらにその実施情報を4月26日までに報告することを求めた。