委託業者のランサムウェア被害に伴う個人情報の漏えいについて
豊田市が印刷業務を委託しておりました株式会社イセトー(以下「イセトー」といいます。)が、ランサムウェア(コンピュータウイルスの一種)によるサイバー攻撃を受けました。
豊田市がイセトーに提供していたデータも被害にあい、個人情報が一時、インターネット上で閲覧可能な状態になっていました。(現在は、削除されています。)
豊田市では、令和6年8月20日(火曜日)、情報漏えいの対象者約15万人に対して、個別に通知をお送りし、漏えいのあったデータに関するお知らせを行いました。
市からの通知が届いた方は、ご自分のどの情報が漏えいしたのか、ご確認ください。
もし、不安な場合や詳細を知りたい場合は、市にお電話ください。
なお、個人番号(マイナンバー)や電話番号、メールアドレスは、イセトーに提供していないため、今回漏えいした情報の中に含まれません。
また、口座番号は、一部分が数字以外に変換してあります。(例:123****)
通知が届いていない方は、今回の情報漏えいの対象とはなっていないので心配していただく必要はありません。
今回漏えいした情報が特殊詐欺等に悪用されるおそれがあります。不審な郵便物等が届きましたら、十分にご注意いただくとともに、必要に応じて警察にご相談ください。(本件に関し、市から電話あるいはメール等で問合せを行うことは、ありません。)
みなさまには、多大なご迷惑とご心配をおかけし、誠に申し訳ありません。
外国人の方へ(For Foreigners)
個人情報漏えいの概要
判明日
令和6年7月2日(火曜日)
漏えいした個人情報
- 対象者数
148,620人 - データ(通知書等)の名称
市県民税通知書、軽自動車税納税通知書、軽自動車税納税証明書、固定資産・都市計画納税通知書、国民健康保険税納税通知書、市税催告書・督促状、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、非課税世帯等給付金確認書、新型コロナワクチン接種券、子育て世帯臨時特別給付金申請書 - 上記に含まれる個人情報
住所、氏名、生年月日、税額、所得、控除、口座番号、保険料額、接種歴等
(備考)口座番号は一部伏字(123****)です。
(備考)個人番号(マイナンバー)、電話番号、メールアドレスは含まれていません。
経緯
- 令和6年5月26日(日曜日)
イセトーにおいて複数のサーバー、PC端末がランサムウェアの被害を受ける。 - 令和6年5月29日(水曜日)
イセトーから本市に関する個人情報の漏えいはないとの報告が入る。 - 令和6年6月18日(火曜日)午前11時
イセトーがインターネット上で個人情報を含むデータの漏えいを確認。 - 令和6年7月2日(火曜日)午後4時
イセトーから本市に個人情報を含むデータが流出したとの報告が入る。 - 令和6年7月4日(木曜日)
本市による記者会見 - 令和6年7月16日(火曜日)
本市がイセトーに7月17日から12か月間の入札参加停止を実施 - 令和6年7月19日(金曜日)
本市に個人情報流出対策室を設置(兼務職員19人) - 令和6年7月22日~
イセトーから漏えいデータを提供され、本市が個人特定作業を実施 - 令和6年8月20日(火曜日)
漏えいした対象者及びその項目が特定できたため、対象者に漏えいした旨をお伝えする個別通知を送付 - 令和6年11月1日(金曜日)
本市の業務を取扱うイセトー工場の現地検査を実施 - 令和6年12月12日(木曜日)
イセトーによる損害賠償金(約3,500万円)の入金を確認 - 令和6年12月27日(金曜日)
本市の個人情報流出対策室を廃止
流出の原因
(1)イセトーが、委託業務において取り扱う個人情報データを「豊田市個人情報取扱い及び情報セキュリティに関する特記」(注釈)(以下「特記」といいます。)の規定に反して市の承諾なく複製し、かつ、社内規定の原則に反して本来は個人情報の取扱いをしないサーバ及びPCにデータを保管し、業務終了後も消去することなく残していました。
(注釈)個人情報及び情報セキュリティの取扱いに関し、委託事業者が守るべきルールや手順を示したものをいいます。
(2)イセトーにおいて、個人情報の取扱いに係る運用ルールに明確でない部分があり、現場の裁量によるところがありました。また、リスク管理及びその点検のための体制構築が不十分でした。
再発防止の方針
監督義務の履行を徹底し、委託業務における個人情報保護に万全を期すため、以下の方針で事務の見直しを実施しました。
(1)(2)による見直し後の事務は、令和7年度当初契約の事務から適用し、当該契約事務の開始に合わせ、11月中旬に(3)の研修を実施しました。
(1)委託先の現地検査又は報告等の徴収に係る特記の記載事項の見直し
これらの実施を任意とせず、原則、報告等を徴収する扱いに変更し、現地検査を活用しながら委託先を適正に監督します。
(2)その他の特記の記載事項の見直し
データの複製に係る承諾について様式を設けるなど、委託先の監督をより効果的に行うために特記の記載事項の見直しを図ります。
(3)委託業務監督に係る研修の実施
(4)委託先に受け渡すデータの追跡・消去などの技術的対策の検討
印刷業務の委託業者
問合せ
各漏えい情報の所管課へお問合せください。
所管課が不明な場合は、代表電話(0565-31-1212)へお電話ください。
ファクス:0565-33-2221
よくあるご質問と回答(FAQ)
よくあるご質問と回答はこちらをご確認ください。
PDF形式のファイルをご利用するためには,「Adobe(R) Reader」が必要です。お持ちでない方は、Adobeのサイトからダウンロード(無償)してください。Adobeのサイトへ新しいウィンドウでリンクします。