委託業務受託事業者のサーバーに対する不正アクセスについて

1.事案の概要

（1）受託事業者

株式会社イセトー横浜支店

（2）委託内容（委託期間）

令和5年執行統一地方選挙投票案内作成委託業務
（令和5年2月1日～4月23日）

（3）外部に流出した可能性のある個人情報（項目及び件数）

• 項目：住所、氏名
• 件数：18人分

2.発生の経緯

令和6年5月26日に受託事業者のサーバーがランサムウエアによる被害を受けました。
令和6年6月6日に本市の有権者の個人情報が含まれている旨が判明し、受託事業者から事故に至った経緯について、次のとおり説明がありました。

• 本市からの委託業務である投票案内の印刷、封入・封緘、郵便局への持ち込みのうち、封入・封緘する工程は、別の事業者に再委託していた。
• 封入・封緘の作業において18人分の破損が生じた。
• 破損分は再度印刷する必要があるため、再委託先の事業者が破損した宛名券面を写真に撮り、画像データにした上で、受託事業者に電子メールで送信した。
• 電子メールを受信した受託事業者が、画像データをパソコン内にダウンロードし消去されずに残っていたため、今回のランサムウエアによる被害を受けた。

現時点では、情報が流出した事実は確認できておりませんが、受託事業者では、対策本部を設置のうえ、外部専門家と連携し調査を継続中とのことです。

3.今後の対応について

同様の事案が発生しないよう、受託事業者とともに業務プロセスの改善を計るとともに、流出した可能性がある個人情報に関しては必要な措置を講じてまいります。