目次 非表示
状況と報道
株式会社エムケイシステム(以下、「エムケイシステム」)が提供する社労士専用システム「社労夢(シャローム)」が外部からのランサムウェアの攻撃を受け、システム障害がおきています。
エムケイシステムは1989年創業で東証スタンダードに上場し、社労士専用ソフトのシェアNo.1企業です。
利用している社労士事務所は約2700事務所、管理企業は約57万社、管理人数は約830万人とも言われています。
うちの事務所では、使用していませんが以前、社労士事務所に勤めていた際に使用(はじめて使用したのは、もう15年以上前ですが)ので、会社のこともシステムのこともよく知っています。
社労士は、この時期、労働保険の年度更新、社会保険の算定基礎届、高齢者・障害者の雇用報告、賞与計算などイベントが多く、一年で最も忙しい時期にこういった事態となり、利用している社労士は疲弊しています。
エムケイシステムのサービスとしては、社労士だけではなく、大規模な一般の企業向けにも「Company Edition」というサービスがあり、また、商工会議所や社労士が加入している労働保険事務組合のシステムも取り扱っていて、その影響は非常に大きいです。
業界内のニュースとして、SNSで書き込みが多く見られましたがとうとう新聞も報道しました。
「社労夢」にサイバー攻撃 社労士支援システムの国内大手(日本経済新聞(2023年6月13日電子版))
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/
以下、引用します。
社会保険労務士向けのシステムを手掛けるエムケイシステムは、ランサムウエア(身代金要求型ウイルス)によるサイバー攻撃を5日に受けたと発表した。1週間以上が経過した13日午後3時の時点で、同社のホームページや、給与計算や社会保険の手続きを支援するクラウドサービス「社労夢」のサイトが接続しづらい状況にある。
エムケイシステムによると、社労夢は社労士向け業務システムでは国内トップシェア。管理事業所数は約57万という。発表によると、5日早朝にデータセンターのサーバーがダウンしたことから調査を開始。不正アクセスの可能性が発覚したことから、関連するインターネット回線を切断した。
不正アクセスを受け、5日に対策本部を設置して警察に通報したほか、8日には個人情報保護委員会へも報告した。8日時点で個人情報の流出は確認していなかったが、流出の可能性を考慮したという。業績への影響は現時点で未定としている。
エムケイシステムは13日の日本経済新聞の取材に対し、「サイバー攻撃に関する問い合わせは受けない」と回答した。
また、東京新聞でも報道しています。
マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える
(東京新聞 TOKYO WEB 2023年6月15日 12時00分)
https://www.tokyo-np.co.jp/article/256708
こちらは、記事のボリュームが大きいので、リンクを貼っておきます。
重要な点として、エムケイシステムが管理している個人情報を例として挙げると、氏名、性別、住所、会社名、マイナンバー、給与、銀行口座などでさらに扶養者の氏名、住所、マイナンバーなども含まれています。
よって、マイナンバーが漏洩している可能性を東京新聞は記事にしています。
内容の究明には、未だにいたっておらず、ここでその点は論じるつもりはありませんがエムケイシステムは、東京新聞に掲載された記事について、自社のサイトで2023年6月16日に以下のように反論していますので、転載します。
平素より弊社製品をご利用いただき誠にありがとうございます。
東京新聞の2023年6月15日付の記事に、当社が800万人超分のマイナンバーを含む個人情報を扱っており、その流出の可能性及びその影響について掲載されました。しかし、同記事は事実に基づかない全くの憶測にすぎず、当社としましては、東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するよう要請すべく、弁護士に相談しているところです。
当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。当社においては、6月9日に発表している通り現時点では情報流出の事実は確認しておりません。現在も継続して専門家による調査を継続しております。
なお、今後開示すべき事項が発生した際には、速やかにお知らせいたします。
社労士事務所のリアルな対応状況
社労夢を使用している社労士仲間から事情を聞いたところ、以下のような状況になっています。(この記事の執筆の6/19時点の情報)
・6/5にシステムが全面的停止し、6/8からクラウドの給与計算システム(暫定版)を稼働させています。
・ただし、暫定版システムは接続しても、動きが遅く、途中で接続が切れてしまうことも多く、通常の作業は望めないようです。
(深夜の方がアクセスが少ないためか接続がスムーズという指摘もあります。)
・6/16にクラウドではなく、暫定的にオンプレミス版の社労夢(給与計算だけでなく、社会保険手続もできるシステム)の受付を開始しました。
・ただし、データの容量が8GB以上の社労士事務所は、有償のようです。
・オンプレの暫定版の社労夢を6/19から使用できるようになった社労士もいるようです。
また、社労士としては、個人情報漏洩の可能性を考慮し、個人情報保護委員会への報告義務があり、その対応に追われています。
全国社会保険労務士会連合会や都道府県の社会保険労務士会でもその対応、指導等を行っています。
今後の対応と考え方
私がサラリーマン時代に在籍していた会社は、クラウドシステムの危険性から使用をしていませんでした。
もともとクラウドシステムのデメリットからオンプレミスのシステムしか採用しない企業も一定数ありますが今回のような事態によって、クラウドシステムを使用していた会社が今後、使用を取りやめる、といった方向転換はとりづらいと思われます。
ただし、顧問先を交えてシステムベンダーのセキュリティ面を厳しく精査するようなことになることも考えられます。
今後、社労士や使用している企業としては、当たり前かもしれません以下のような対応が考えられます。
①バックアップ体制の強化
②システムの再検討
③重要な個人情報を取り扱うという再認識
①現在、従業員マスタが保管されておらず、エクセルの計算もできないといった状況も聞きましたが給与計算を紙媒体で納品(保管)していて、CSVデータを保存するといった対応をとっていなかったケースもあるようです。
万が一のため、CSVデータの保存をするのがよいかもしれません。
また、バックアップもなんとなく行わず、対象データ、頻度などのルールを決めておいた方がよいでしょう。
②システムの乗り換えだけでなく、
・ひとつのシステムだけでなく、複数のシステムを併用する
・テレワークはなく、全員が事務所に出社しているのなら、オンプレミスのシステムを使用する
(自社サーバのセキュリティや最終的にはクラウドストレージに保存しなければならないといった問題もあるかもしれませんが)
といった事務所ごとにあった方法を検討するという選択肢もあるかもしれません。
ただ、複数のシステムを併用するといっても、当然ですが異なるシステムでマスタを二重メンテし、給与計算を2度するということではなく、いざというときに予備的にいつでも使えるシステムを用意しておくという意味合いしかありません。
また、オンプレミスのシステムを使用する場合は、自社サーバのセキュリティを強固なものをしなければならないですし、クラウドストレージに保存するなら、今回と同じことが起こる可能性が0ではないという認識を持たなければなりません。
ただ、事実ベースで言えば、社労夢は、2か月前の4月にもシステム障害が発生しています。
具体的には、4月は、新卒をはじめとする入社手続き、年度末の退職に伴う退職、離職票の発行などの手続きが最も多い月です。
その4月の第一週にアクセス過多でクラウド版は通常稼働ができず、利用制限をかけていたため、健康保険証や離職証明書の発行が遅れていました。
短期間にこれだけのことが起きるとさすがに対応を考えざるを得ないですし、お客様からの意見もあるかもしれません。
システムの移行は、莫大な工数がかかりますが売上があがるわけではなく、大変な仕事ですがここは今後の事務所経営に影響を及ぼす可能性も否定できません。
③社労士事務所としては、規模が大きくないとしても、委託する企業が大企業といったケースもありますし、中小企業といえども顧問先の会社数を考えれば、お預かりする個人情報の件数は大きなものとなるケースもあります。
また、システムベンダーに今回のような事態が起こったとき、最終的には、システムベンダーではなく、社労士に責任があるということは、頭ではわかっていても、心のどこかで大丈夫といった意識を持っていたとしたら、捨てなければならないでしょう。
重要な個人情報を取り扱うということを改めて認識し、また、従業員がいる場合は教育面の強化も考えなければならないでしょう。
以上、今後の対応方法などを考えてみましたが最後に今回のシステム障害の一刻も早い終息と情報漏洩がないことを願ってやみません。
