こんにちは。今回は、卒業アルバム制作会社「イシクラ」のサーバーが不正アクセスを受け、個人情報が漏えいしたおそれがあるというニュースを解説します。特に、サプライチェーンリスクや二次的な被害について考えていきます。
■ 何が起きたのか?
埼玉県さいたま市にある卒業アルバム制作会社「イシクラ」のサーバーが不正アクセスを受け、川崎市立小学校12校の児童や教員約6000人分の個人情報が漏えいしたおそれがあることが判明しました。
- 漏えい情報:
- 氏名、写真(6年生児童と教員)
- 神奈川県平塚市や千葉県松戸市などでも、最大7万4000件の個人情報が漏えいしたおそれあり
- 原因: 不正アクセス(2024年5月発生)
- 発覚: 川崎市が情報漏えいの可能性を把握したのは2025年3月
- 二次被害: 現時点では確認されていない
■ サプライチェーンリスク
● サプライチェーンリスクとは?
企業や教育機関などが提供するサービスが、外部の協力会社(サプライチェーン)に依存しているために発生するリスクです。
一部の協力会社が被害を受けると、その影響が取引先全体に波及する可能性があります。
● 今回のケースでのリスク
- 卒業アルバム制作を外部委託していたことが問題の発端
- 制作会社が不正アクセスを受け、教育委員会や小学校にまで被害が及んだ
- 各地で同様の被害が発生しており、サプライチェーン全体のセキュリティが脆弱だった可能性
■ 二次的な被害のリスクとは?
現時点で確認されていないものの、今後以下の二次被害が発生する可能性があります。
- 成りすまし被害:名前や写真を利用してSNSや他サービスで偽アカウントを作成
- 詐欺被害:保護者を装ったフィッシングメールや電話詐欺のリスク
■ 情報漏えいを防ぐための対策
【1】 外部委託のセキュリティ監査
- 個人情報を扱う業者に対し、定期的なセキュリティ監査を実施することで、問題を未然に防ぐ
【2】 個人情報管理の強化
- アクセス権限を最小限に限定し、外部からのアクセスを徹底的に管理する
- データを暗号化し、万が一漏えいしても容易に解読できない状態にする
【3】 緊急時対応計画(BCP)の策定
- 万が一情報漏えいが発生した場合に備え、迅速に報告し対応できる体制を事前に整備しておく
■ まとめ:サプライチェーンリスクを見直そう
今回のインシデントは、卒業アルバム制作会社への不正アクセスが自治体や学校へ波及するという、典型的なサプライチェーンリスクの事例です。
外部委託先がサイバー攻撃を受けると、その影響は委託元の信用問題にも発展します。
教育機関や自治体は、外部業者のセキュリティ管理を厳格化し、万が一の際には迅速に対応できる仕組みを構築することが求められています。
また、企業側も、自社のセキュリティ管理を徹底し、被害が発生した際には速やかに関係者へ報告する責任を果たす必要があります。
それでは、また次回の「Today’s Security」でお会いしましょう。
コメント