【重要】不正アクセスを受けたエムケイシステム社からの報告共有
お客様各位
この度は、弊社が利用するクラウドシステムの障害によりご心配とご迷
惑をお掛けしており申し訳ございません。
昨日付で、システム提供会社のエムケイシステム社から、システムユー
ザー向けに案内がありました。お客さまには全文を共有させていただきま
す。
まずは要約ですが、文中「3.不正アクセスの調査状況」に、「6月2
5日現在、個人情報が外部へ送信された痕跡については発見されておりま
せん。また、本件にかかわる個人情報の不正利用等の事実も確認されてお
りません。なお、当社がお客様からお預かりしているマイナンバーは、他
の社労夢製品とは切り離した環境で完全に暗号化されております」との記
載があります。
次に戻りまして、前段1.2はシステムの復旧状況に関して案内です。
昨日から、弊社では、以前の社労夢システムに登録したデータが閲覧、利
用できるシステムが稼働した状況です。日常業務の他、7月10日(月)
期限の労働保険料の申告・社会保険の算定基礎届がありますので、急ぎ対
応して参ります。
入退社のご連絡方法で使用していた「ネットde受付」や給与情報の共
有クラウド「ネットde賃金」は、まだ復旧していなく、お客さまには今
暫くご迷惑をお掛けすることをお詫び申し上げます。勤怠システム「ネッ
トde就業」をご利用のお客さまには、もう少し情報を整理した上で、個
別にご案内申し上げます。
最後に、お客さま情報の閲覧が可能になりましたので、今週中に個人情
報保護委員会への連名方式による報告を進めさせていただきます。
※1(参考情報は一番下に記載)
(以下、エムケイシステム社からの報告全文)
——–
2023年6月25日
お客様各位
株式会社エムケイシステム
代表取締役社長 三宅 登
サービス再開についてのお知らせ
このたびはお客様、顧問先様、お取引先様、関係者の皆様に多大なご迷
惑をお掛けしておりますことを、深くお詫び申し上げます。
6月5日からサービス停止しておりました社労夢のサービス再開について
以下の通り、ご案内いたします。
1.社労夢クラウド版のサービス再開について
◎サービス再開日時:2023年6月30日(金) 午前0時
再開するサービス:
社労夢V5.0(社労夢シリーズ、ネットde顧問、ネットde事務組合)
Direct HR
※Cloud Pocket、社労夢ポストの社労夢連携によるご利用も再開い
たします。
◎サービス再開日時:2023年7月第2週(3日~7日)予定
再開するサービス:
社労夢V3.4(社労夢シリーズ、ネットde顧問、ネットde事務組合)
SR-SaaS、MYNABOX、MYNABOX CL
6月20日の中間報告におきまして、システムの復旧につきましてIDC(従
来のデータセンター)とAWS(Amazon Web Services)上の両面で構築作業に
着手している旨ご案内いたしましたが、システムの安定性、安全性を考慮
し、外部専門家とも検討の上、AWS基盤(クラウド環境)でのサービス再開
を決定いたしました。
サービス再開にあたり、セキュリティ面の強化を実施しております。
下記の「4.セキュリティ対策について」をご確認下さい。
2.サービス再開に際し、お客様へのお願い
サービス再開に際し、サービス停止期間中の暫定対策としてリリースし
た、社労夢オンプレ版からのデータ移行(オンプレ版からクラウドへのデ
ータアップロード)等、ユーザー様の状況に応じて、社労夢クラウド版の
ご利用までの流れ・再開時期が変わります。つきましては各ユーザー様の
社労夢オンプレ版のご利用状況を伺いたく、下記URLのアンケートにご協
力をお願いいたします。
お客様毎のアンケートのご回答内容に応じて、6月30日以降の社労夢クラ
ウド版のサービス再開について、アンケートページ内にてご案内させて
いただきます。(アンケートへのご回答は1回限りとなります)
現在のユーザー様のご利用状況をお知らせください。
ご利用状況アンケート ※※※※URL削除※※※※
アンケートにお答え頂くと、お客様のご利用状況に応じて下記①又は②が
表示されます。
① 6月30日以降の社労夢クラウド版のご利用にあたり、「社労夢オン
プレ版」データアップロード用のツールを別途ご準備いたします。
6月30日までにツールと手順をメール配信にてお送り致します。
社労夢クラウド版のご利用は、データアップロード完了後になりま
す。6月30日のサービス開始直後は、お問い合わせが集中すること
が予想されます。 既に社労夢オンプレ版を稼働いただいているお
客様は、少し余裕を持って社労夢クラウド版へ移行いただけますと
幸いです。
② 社労夢オンプレ版を稼働していない場合は、社労夢データアップロ
ードが不要になりますので、社労夢クラウド版をサービス開始と同
時に、事前準備なしでご利用いただけます。
※データアップロードのツールはメール配信にて届きますが、ご利
用いただく必要はございません。
各回答にも記載のある通り、データアップロード用のツールは①②いずれ
のお客様にも6月30日までにお送りします。(アンケートの回答を間違わ
れてもお送りしますのでご安心ください)
②のお客様はツールを使用してデータアップロードを行わず、社労夢クラ
ウド版をご利用いただけます。
3.不正アクセスの調査状況
2023年6月5日(月)早朝にランサムウェアによる第三者からの不正アク
セスを確認後、直ちに関連するインターネット回線を切断の上、警察など
の関係諸機関への報告とご助言を得るとともに、外部の専門調査会社を交
え侵入経路の特定、被害情報の確認、情報流出の有無の確認などの調査を
実施しております。6月20日中間報告で既報の通り、専門調査会社による
調査はその後も進んでおり、6月25日現在、個人情報が外部へ送信された
痕跡については発見されておりません。また、本件にかかわる個人情報の
不正利用等の事実も確認されておりません。なお、当社がお客様からお預
かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全
に暗号化されております。
4.セキュリティ対策について
今回の事象発生以来、システムの復旧作業と並行して外部の専門調査会
社と連携して情報セキュリティ対策の強化策を検討してまいりました。お
客様に安心して社労夢クラウド版をご利用いただくための主な強化策は以
下の通りであります。情報セキュリティ対策及び監視体制の見直し・更な
る強化を実施し、今後同じ事態が発生しないよう再発防止策を取ってまい
ります。
・ネットワークセキュリティ対策の強化(アクセス制限、強固な認証方
式 他)
・エンドポイントセキュリティ対策の強化(既知脅威情報だけでなく未
知の脅威対応 他)
・ペネトレーションテスト(脆弱性検査等)の定期的な実施
・リスクアセスメント、情報セキュリティ監査の定期的な実施
・情報セキュリティの運用体制の見直し(情報セキュリティ専門家の活
用)
以上
以上 エムケイシステム社からの案内を共有させていただきます。
======================================
※1 個人情報保護委員会への報告は、弊社が連名方式で提出します
個人情報取扱事業者は、漏洩の恐れがあるという事態を知った後、速や
かに個人情報保護委員会へ報告が必要という規定があります。この個人情
報取扱事業者には弊社のお客さまも含まれてしまいます。ただし、弊社が
同委員会へ提出する報告に、企業名等を連名することで、お客さまが個別
に提出することが免除されます。
弊社では、6月11日(日)に提出した速報において、連名方式を採用
しており、今後の続報を提出する際、全てのお客さまの企業名等を連名で
報告させていただきます。
これにより、お客さまが委員会へ個別に報告する必要がないことをお知
らせ致します。(個別に報告することを妨げるものではありませんので、
個別に報告していただいても問題ありません)
======================================
2023年6月26日
社会保険労務士法人プレシャスHR
代表 尾花 正生
