→供給網へのサイバー攻撃の備え 山岡裕明弁護士に聞く(2023年5月21日)
>貴洋のホルマリン漬 |
>貴洋のホルマリン漬 |
||
911行目: | 911行目: | ||
全文は{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/610|https://archive.md/CBr3d|こちら}}で開示されたものを掲載している。内容は5月17日のものとほぼ同様。 | 全文は{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/610|https://archive.md/CBr3d|こちら}}で開示されたものを掲載している。内容は5月17日のものとほぼ同様。 | ||
=== 社労士クラウド、重いサイバー被害 復旧遅れや顧問料減(2023年7月29日) === | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
{{Archive|https://www.nikkei.com/article/DGXZQOUF3045Y0Q3A630C2000000/|https://archive.md/VZYNQ|'''社労士クラウド、重いサイバー被害 復旧遅れや顧問料減'''}} | |||
<div class="mw-collapsible-content"><poem> | |||
国内最大の社会保険労務士向けクラウドサービス「社労夢」が受けたサイバー攻撃の波紋が広がっている。社労士が一時、顧問先の企業の社会保険料や給与を正確に計算できず、企業から顧問料の減額を迫られた例もある。被害から1カ月半がたった今もシステムの処理速度が遅いなど完全復旧に至っていない。 | |||
「全ての業務が進められなくなった」。2700以上の社労士事務所が利用する「社労夢」を手掛ける大阪のシステム会社、エムケイシステムがランサムウエア(身代金要求型ウイルス)の攻撃を受けた6月、SNS(交流サイト)上で社労士の悲鳴が相次いだ。 | |||
社労夢の利用事務所が管理する事業所は約57万。クラウド上で給与履歴や勤務表など顧問企業の従業員情報をまとめて見られるのが特徴で、給与の自動計算や社会保険の手続きをする機能も提供する。エムケイは幅広い手続きや契約に対応する仕組みをいち早く整え、首位に立った。 | |||
社労士が被った被害は多岐にわたる。大阪市のある事務所は勤務時間や年齢情報が分からず、顧問企業の従業員の給与計算ができなくなった。数百人いる従業員の情報を1人ずつエクセルに入力して計算し、しのいだ。別の事務所は6月の支払日に間に合わず、前月と同じ給料を支払い、後日調整する措置をとった。 | |||
6月は社労士にとって通常の給与に加え、賞与の支払い、労働保険料の申告や1年間の社会保険料の基本となる報酬を決定するための書類提出が重なる繁忙期だ。都内のある社労士は「体感の仕事量は通常の3〜4倍だ」と強調する。繁忙期のサイバー被害により、長時間残業を強いられる社労士は少なくなかった。 | |||
関係者によると、企業から顧問料の減額という事実上の賠償を求められた社労士事務所が複数あり、その一部は減額を受け入れたという。 | |||
エムケイは6月30日以降は一部のサービスを順次再開したが、ある社労士は7月に入っても「つながりにくかったり処理速度が遅かったりする不具合が残る」と指摘する。「サイバー攻撃を受けて立ち上がった臨時のシステムに入力したデータを本来のシステムに移す作業もスムーズとは言えない」という。 | |||
同社は7月中の完全復旧を目指している。また、再発防止に向けて「外部の専門機関と連携して今後の情報セキュリティーの強化につとめる」としている。 | |||
社労夢では従業員の個人情報やマイナンバーも管理している。エムケイシステムは19日、「調査の結果、個人情報の漏洩は確認されなかった」と公表したが、サービスを利用していた三井金属や東急のグループ会社ではアルバイトや正社員の情報漏洩リスクを開示した。 | |||
近年は1社のサイバー被害が芋づる式に広がるケースが目立つ。2021年7月にはロシア系ハッカー集団が、米IT(情報技術)企業カセヤが提供する法人向けソフトの脆弱性を突き、世界各国のソフトの利用企業を攻撃。カセヤによると最大で約1500社が影響を受けた可能性がある。 | |||
国内では今年6月8日に約1100社のLPガス事業者が利用するシステム「クラウドAZタワー」を提供するパーパス(静岡県富士市)がサイバー被害を受け、システムを全面停止。利用する各事業者は検針や請求などの業務で影響が出た。 | |||
サイバー被害の法務に詳しい山岡裕明弁護士は「(クラウド経由でソフトを提供する)SaaS(サース)の普及でこうした大規模被害が今後は増える」と話す。一般的にSaaS事業者は損害賠償などの責任を制限する条項を契約に入れており、「繰り返し注意喚起された脆弱性を長期間放置するなど悪意や重過失が認められなければ、賠償金額は一定にとどまる可能性が高い」と話す。 | |||
一方、ソフト利用者とエンドユーザーとの間ではそうした契約がない場合もあり、一方的に賠償などを負うことになりかねない。山岡氏は「ソフト提供業者と同じく責任を制限する契約条項を顧客と結んでおくことが望ましい」と指摘する。 | |||
(泉洸希、サイバーセキュリティーエディター 岩沢明信) | |||
</poem></div></div> | |||
全文は{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/678|https://archive.md/rMLGT|こちら}}で開示されたものを掲載している。 | |||
== 山岡裕明の掲載(日経XTECH) == | == 山岡裕明の掲載(日経XTECH) == |