日本情報経済社会推進協会は、プライバシーマーク（Pマーク）審査関連資料を漏えいした件について、その後の調査を通じて確認した事実関係と再発防止策などを発表した。

インターネット上でファイルが閲覧可能に

　発生したのは2023年8月8日。過去にPマークを取得していた事業者1社から同協会に対し、インターネット上で自社に関するPマークの審査関連資料と思われるファイルが閲覧可能となっているとの連絡がきた。これを受け、同協会で直ちに調査を開始したところ、資料が審査員の作成したものであることを確認し、情報の漏えい元と推定されるPCと周辺機器をネットワークから隔離。なお、その審査員は同協会のほかに日本印刷産業連合会の審査業務も受託しており、その審査関連資料も同様に保管していたという。

　その後、外部の専門調査機関と連携し調査を進めたところ、審査員が05年10月から23年7月までに実施したPマーク審査の関連資料と05年から11年まで同協会と契約していた審査員名簿（日本印刷産業連合会の関連資料は08年から11年まで）が、少なくとも20年7月から23年8月までインターネット上で閲覧可能な状態となっていたことが判明した。漏えいのおそれがある事業者数は、同協会審査分の500社、日本印刷産業連合会審査分の388社、合わせて最大888社。また、期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認したとのことだ。

　再発防止策として、同協会と審査業務委託契約を交わしている全審査員に対し、個人所有のPCなどに審査関連資料を保管していないことを確認し、万が一保管している資料があれば速やかに廃棄するよう指示。また、個人所有のPCでの審査作業を全面的に禁止した。

　今後は、同協会が貸与する十分なセキュリティ対策（ほかの機器との接続不可を含む）を施したPCのみを用いて審査業務を行うことにするという。また、全ての審査員に対して審査関連資料の適切な取り扱いを改めて周知徹底するとともに、貸与PCにおける取扱状況の監視・点検も実施するとのことだ。

　そもそもの発生原因は、審査員に対して同協会が事前に許可した場合に限りって審査員が自宅で個人所有のPCを用いてPマーク審査業務の一部を行うことを認めていた点。許可の申請にあたって、事前にPCの機種やOSのバージョン、ウイルス対策などの作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することを定めていた。

　ところが、審査員は許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境で審査作業を行っていた。加えて、作業終了後も審査関連資料を外部記憶媒体などにも含めて保管し続けていたという。

　このような状況下、審査関連資料と審査員名簿を保管していたファイルサーバーに適切なセキュリティ対策が施されておらず、インターネット上で閲覧できる状態になっていた。判明後、同協会は直ちに審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消した。同協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認していなかったとのことだ。