読者です 読者をやめる 読者になる 読者になる

東京動物園・水族園のウェブサイト改ざん、情報流出についてまとめてみた

事象

東京動物園・水族園のホームページが外部からのウェブサイトにより改ざんを受けるとともに、メールマガジン登録者等のメールアドレス、問合せをした人の個人情報が流出した。

影響範囲

  • 東京動物園・水族園のホームページ「東京ズーネット」の改ざん
  • 情報流出
    • メールマガジン「ズー・エクスプレス」登録者等のアドレス(21,688件)
    • 「東京動物園友の会」への加入について問合せした人(868件)の個人情報(氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項)

原因

調査中

対応経緯

考察

本事象で特筆すべきは、指定管理者が運営するウェブサイトであったということです。

都立動物園・水族園は指定管理者により管理されており、今回改ざん・情報流出したウェブサイトも指定管理者か運営しているものでした。 このような場合に、自治体としてどのように対応すべきかは検討しておく必要があります。

東京都サイバーセキュリティ基本方針においては、以下の規定があります。

7 外部委託事業者等への対策

東京都の業務を受託する事業者及び派遣職員並びに公の施設の管理を行う指定管理者に当該業務等を行わせる場合においては、セキュリティ対策上遵守させるべき事項を契約又は協定等において明記するとともに、本基本方針及び対策基準と同様の水準での情報セキュリティを確保できるよう、東京都が必要な措置をとるものとする。

今回の場合は、協定において東京都と同等の水準での情報セキュリティを確保するように定められていたか、都がどのように確認していたかが問題です。 もし、これらが不十分であった場合は改善する必要がありますね。