2023年6月22日

お客様・従業員各位

不正アクセスの発生及び対応状況について

　弊社お客様からの受託業務で使用している「株式会社エムケイシステム」（大阪市）のサーバーがランサムウェアによる第三者からの不正アクセスを受けたことについて、多くのお客様及び従業員の皆さまにご心配、ご迷惑をお掛けしておりますこと、深くお詫び申し上げます。
　6月20日、エムケイシステムより中間報告を受けましたので、現時点の対応状況等を報告申し上げます。（すでに報道されているものや、お知らせ済みの内容等と重複する部分もありますことをご了承下さい。）
　なお、エムケイシステムからの報告では、「現時点ではランサムウェアにより暗号化された形跡は突き止めたものの、個人情報が外部へ送信された形跡については発見されておりません。なお、ランサムウェアの種類については特定しております。」とのことで、引き続き提供すべき情報を入手した際には、あらためてお知らせ致します。

【1.経緯】

　弊社では、エムケイシステムの製品である、社労士事務所向けの業務支援ソフト「社労夢」を主要システムの一つとして使用し、弊社の顧問先である企業からの委託をうけ、労働社会保険関係の各種手続き、給与計算業務等を行っております。
　6月5日より、エムケイシステムが提供する製品（クラウドサービス）に接続できない状況が発生し、エムケイシステムによる調査の結果、接続障害の原因はランサムウェアによる第三者からの不正アクセスによるもので、サーバーの暗号化を行ったことが確認されました。
　エムケイシステム及びソフトウェア（社労夢）、これまでの経過の概要、エムケイシステムからの中間報告等は以下の通りです。

（１）株式会社エムケイシステムについて

（２）社労夢について

（３）弊社で使用している主なエムケイシステム社製品について

（４）これまでの経過の概略（システム対応等を除く）について

　個人情報保護委員会への報告義務の対象は、1.要配慮個人情報が含まれる事態、2.財産的被害が生じるおそれがある事態、3.不正の目的をもって行われた漏えい等が発生した事態、4.1,000人を超える漏えい等が発生した事態、が示されております。エムケイシステムの発表によれば、現時点で情報が漏えいした事実は確認していないものの、流出の恐れの可能性があること、また、「3. 不正の目的をもって行われた漏えい等が発生した事態＝不正の目的をもって行われたおそれがある個人データの漏洩等（又はそのおそれ）」として「ランサムウェア等により個人データが暗号化され、復元できなくなった場合」が例示されていることから、弊社としてお客様への通知を行うとともに、個人情報保護委員会への報告を行うこととしました。

（５）これまでの経過の概略（システム対応関係）

　弊社においては、まずは少しでも従来のシステムに近い環境での業務復旧を目指す目的から、社労夢オンプレ版の提供受付早々に申し込みを行いました（同6月16日に、オンプレ版の申し込み受付確認メールも受信しております）が、6月22日（木）8時時点において、エムケイシステムから弊社への社労夢オンプレ版の利用に関する通知はなく、未だに従来のシステムに近い環境での業務ができていない状況が継続しております。
　弊社では、引き続き他システム等の使用により業務を遂行しつつ、社労夢の復旧に関する情報収集に努めております。
　WEB版給与システム、ネットde顧問（明細・就業）について、接続はできるものの、頻繁に切断が生じる等不安定な状況であり、かつ、社労夢が正常に使用できていないことから、6月の給与賞与の明細書データの公開も一部のみに留まっている状況が続いており、お客様・従業員の皆さまには、引き続きご心配、ご迷惑をおかけしておりますことを、お詫び申し上げます。

（６）エムケイシステムからの中間報告について

　6月20日のユーザー向けの中間報告を含んだ内容の発表が、6月21日付にてエムケイシステムのホームページに掲載されましたので、6月5日以降の発表内容とあわせて、WEBサイトをご参照下さい。

【2.個人データの項目】

　現時点でエムケイシステムからは情報流出の事実は確認されていないと発表されていること、また、ランサムウェアにより暗号化されたデータの範囲等が公表されていないことから、正確な項目とその範囲を報告できず申し訳ありませんが、弊社がエムケイシステムの製品に登録している個人データは以下の通りです。なお、各情報について会社又はご本人から提供を頂いていない場合や、該当者の各種手続き等に不要な情報については、未登録・非該当の項目名も下記に含まれていることをご了承下さい。（例：給与計算業務を受託していない場合は、雇用継続給付等を受給している場合を除き、銀行口座情報は登録していません。）

・氏名　・フリガナ　・生年月日　・性別　・住所　・電話番号　・個人番号（マイナンバー）　・メールアドレス　・家族情報　・社会保険関係情報（基礎年金番号、雇用保険被保険者番号等）　・給与情報　・勤怠情報　・銀行口座　・年末調整情報（生命保険料控除等）

　エムケイシステムによると、個人番号（マイナンバー）については、社労夢とは別のデータベースにより暗号化し管理されているため、万が一サーバー内のデータが流出した場合でも、個人番号（マイナンバー）の漏えいは起こらないとのことです。

【3.影響範囲と現状】

　エムケイシステムの製品に接続ができないことにより、以下の影響が生じております。（6月21日より一部復旧しております。）

＜お客様への影響＞
・給与（賞与）明細書の閲覧ができない（WEB明細書をご利用の場合）
・勤怠システムに接続できない（WEB勤怠システムをご利用の場合）
・納品データのフォーマットが前月までと異なる
・手続きの完了まで、通常よりも日数を要していることがある

＜弊社への影響＞
・「社労夢」を使用した各種手続きの電子申請、公文書の取得ができない
・「社労夢」を使用した給与計算業務ができない

　弊社では、社労夢以外の業務支援システムも使用していることから、一時的に他のシステムを使用したり、紙による手続きを行う等により業務を遂行しておりますが、現在においても社労夢及びこれに連携したシステムは完全復旧しておらず、一部の手続きについて、完了まで通常時よりも日数を要することがあるなど、ご迷惑をおかけしております。
　弊社に給与賞与計算をご依頼頂いておりますお客様のうち、社労夢を使用して当該計算業務を実施しているお客様につきましては、他システムの設定等に要するための準備日数の調整や、例月とは異なるフォーマットでのデータ納品、WEB明細が使用できないことによる紙明細の配布対応等、お客様のご理解とご協力を得ながら業務を遂行しております。
　また、勤怠システムが使用できないことにより、従業員の皆さまにもエクセル等の別システムに勤怠を記録していただく等、ご協力を頂いております。

【4.今後の対応等】

（１）情報漏洩の恐れに対する対応
　6月5日の接続障害発生から昨日まで、エムケイシステムの調査により、情報流出・漏洩の事実は確認されていないことが発表されていますが、今後、新たな事実の発覚又は情報流出の確認、報告等があった場合には、対象のお客様に直ちにご連絡を差し上げるとともに、弊社ホームページ等でも事実関係を公表致します。
　また、個人情報保護委員会への報告（確報）に向けた準備を行うとともに、今回のエムケイシステムの事象を機として、あらためて弊社内のセキュリティ対策を見直し、検討致します。

（２）システム障害に対する業務対応
　6月から7月は、通常の入退社・給与計算・賞与計算業務のほか、労働保険の年度更新、社会保険の算定基礎届の提出等、我々社労士にとっては、最繁忙期の一つとなっております。
　第一の優先事項は、給与計算等業務と各種手続き・届出に遅延や漏れが生じないよう努めるものであることと認識し、他システムの利用等により、業務を遂行しております。
　また、社労夢のシステム復旧に関する情報を収集しつつ、復旧後のデータの整合性保持のための準備、復旧後のシステム継続利用可否・代替システムの有無等について、検討を行っております。

　この度は、弊社使用システムの接続障害により、多くのお客様、従業員様にご心配とご迷惑をおかけしておりますことを、重ねてお詫び申し上げるとともに、弊社業務遂行に関し、多くのご協力とご支援を頂いておりますことを、深く感謝申し上げます。

机・加藤社会保険労務士法人
代表社員　加藤　智