株式会社イシクラの取組事例
業種
取り組みテーマ
さいたま市岩槻区に本社を置く株式会社イシクラは、卒業アルバムを中心とした写真関連事業を手がける老舗企業だ。
かつて卒業アルバムでは、各学校を担当する写真館とイシクラの担当者がDVDやメールを通じてデータのやりとりをしていた。しかし、データ管理が個人任せになってしまい、工程管理に困難が生じていたため、同社はクラウドストレージを活用したデータの一元管理に移行。その結果、データ経路の把握が可能になってセキュリティが向上し、工程の遅れも解消した。ゆくゆくはデジタルの強みを活かし、ロットが小さく印刷できない部活動やクラスの日常的な写真などを提供できればと考えていた。
そうした矢先の2024年5月、委託先が管理するレイアウトシステムのサーバーが外部からサイバー攻撃を受け、一部データが暗号化されてしまう。データの外部への漏洩はなく、暗号化されたデータも、すでに卒業アルバムとして印刷が終わっている過去データだったため、アルバム製作に支障は生じなかった。
直ちに行政機関(個人情報保護委員会)およびJIPDEC(日本情報社会推進協会)に報告した。
関係機関への報告、ホームページによる告知、脆弱性対策、再発防止策、と順を追って進めていた24年12月、個人情報保護委員会より個人情報漏洩に伴う各学校への報告を行うよう指導があった。不正アクセスによるデータ毀損はあったが、データそのものは外部に流出していないため、情報漏洩ではないと考えていたイシクラ社にとってこれは想定外だった。しかし委員会から、不正アクセス時に画面を閲覧できた可能性を否定できない、として情報漏洩時に実施する個人データ取扱委託者(学校)への通知を申し渡された。
こうした法令理解不足により対応は遅れ、“情報漏洩のおそれ”として再度ホームページに告知したときは25年3月になっていた。学校・教育機関・市町村に対しては、報告が遅れたことの経緯説明から始めなければならなかった。そして、問い合わせは25年10月現在も続いている。
こうして技術対応だけでなく、法令対応を含めた危機管理の重要性を痛感したイシクラ社は、今後同様のことがあった際には、迅速かつ正確に動けるよう、認証制度に基づき定めた個人情報保護のルールを再周知した。
システムは被害の教訓を踏まえ、セキュリティ認証を取得したクラウドサービスを採用し、アクセス権限の最小化やサーバー管理の分離など、安全性を重視した運用体制に切り替えた。また、ユーザーの操作や通信の中に潜む不審な挙動を検知できる体制も整えた。リスクとなり得る行動を可視化できるようになり、現場の安心感が大きく高まっている。
また、委託先の選定基準にセキュリティ要件を明記し、監督ルールを明文化。社内教育にも力を入れ、定期的な研修を通じて「情報を扱うこと=信頼を預かること」という意識を社員全員で共有している。
「セキュリティ対応はITの問題ではなく経営課題である」という認識が社内に浸透し、DX推進そのものが“守る力の強化”として再定義された。
-1.jpg)
今回の事案は、委託先サーバーを介して広く複数の企業に影響が及んだサイバー攻撃だった。つまり、自社が直接狙われていなくても、取引や委託のつながりを通じて被害が拡大する時代になっている。取引規模の大小にかかわらず、あらゆる事業者が攻撃対象となり得る時代であり、「自分たちは狙われない」という思い込みは通用しない。現に、令和6年度の中小企業のランサムウェア被害は、前年より37%増加しているという統計もある。※
デジタル化を進めるほど、利便性の裏でリスクが顕在化しやすい。クラウドやSaaSの導入は業務効率化の有効な手段であると同時に、セキュリティを前提に設計・運用・見直しを行うことが欠かせない。イシクラ社の経験は、DXを「攻めの変革」だけでなく「守りの基盤づくり」として捉えることの重要性を教えてくれる。
※令和6年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)より
思い出を形に残すという使命を持つイシクラ社にとって、デジタル化は避けて通れない道だ。
今回の経験は痛みを伴うものだったが、「便利さを追うDX」から「信頼を守るDX」へと意識を転換するきっかけとなった。
最後に現在DXを推進している企業に対するアドバイスを頂いた。
「法令理解の不足は対応の遅れにつながります。自社事業に関連する法令は常に情報収集しておくべきですね。また、情報管理については、委託先と連携し、セキュリティ強化に努めることが重要です。サイバー対策は日進月歩の世界なのでチェック項目も不断に見直し、付き合いの永いベンダーも常に最新のチェック項目で確認することをお勧めします。」
株式会社イシクラ
