英国 ICO ランサムウェア被害にあったITサービス提供者に罰金約3百万ポンド(約6億円)を課す (2025.03.27)
こんにちは、丸山満彦です。
2022年8月に多要素認証をしていない顧客アカウントを経由して、医療・介護関連会社の特定システムにランサムウェア攻撃者(LockBit)にアクセスされ、National Health Service(NHS) [wikipedia] 等の約8万人の個人情報をリスクに晒したITサービス提供者(データ処理事業者)であるAdvanced Computer Sofrware Group [wikipedia] 等に個人データ保護法違反として、307万ポンド(約6億円)の罰金を課していますね...
事案発生当時は、英国では大きく話題になっていましたね... その後もいろいろな場面でランサムウェア被害の例として言及されています...
ICOがデータ処理事業者に罰金を課したのは初めてのようですね...
当初はこの倍の600万ポンドの罰金を課すことにしていたが、会社からの異議があり、ICOが検討した結果、
- 国家サイバーセキュリティセンター(NCSC)、国家安全保障局(NCA)、NHSに積極的に協力したこと、
- 影響を受けた人々のリスクを緩和するために他の措置をとったことなど、
により減額が認められ、最終的には、約半額の3,076,320ポンドで和解したようですね...
● U.K. Information Commissoner's Office: ICO
・2025.03.27 Software provider fined £3m following 2022 ransomware attack
| Software provider fined £3m following 2022 ransomware attack | 2022年のランサムウェア攻撃を受けてソフトウェアプロバイダーに300万ポンドの罰金を課す |
| ・ICO confirms that a subsidiary of Advanced broke data protection law by failing to fully implement appropriate security measures such as multi factor authentication coverage prior to 2022 attack | ・ICOは、Advanced社の子会社が2022年の攻撃前に多要素認証の適用範囲など適切なセキュリティ対策を十分に実施せず、データ保護法に違反したことを確認した。 |
| ・Voluntary settlement reached with Advanced acknowledging the regulator’s decision and agreeing to pay the reduced fine without an appeal | ・規制当局の決定を認め、控訴せずに減額された罰金を支払うことに同意することで、Advanced社と自主的な和解が成立 |
| ・Information Commissioner: “Today’s decision is a stark reminder that organisations risk becoming the next target without robust security measures in place.” | ・情報コミッショナー: 「本日の決定は、組織が強固なセキュリティ対策を講じなければ、次の標的になるリスクがあることを痛感させるものである。」 |
| We have fined Advanced Computer Software Group Ltd (Advanced) £3.07m for security failings that put the personal information of 79,404 people at risk. | 我々は、アドバンスト・コンピューター・ソフトウェア・グループ・リミテッド(以下アドバンスト社)に対し、79,404人の個人情報をリスクにさらしたセキュリティの不備により、307万ポンドの罰金を科した。 |
| Advanced provides IT and software services to organisations, including the NHS and other healthcare providers, and processes people’s personal information on behalf of these organisations. | アドバンストは、NHSやその他の医療プロバイダを含む組織にITおよびソフトウェアサービスを提供し、これらの組織に代わって人々の個人情報を処理している。 |
| The fine relates to a ransomware incident in August 2022. Hackers accessed certain systems of Advanced’s health and care subsidiary via a customer account that did not have multi-factor authentication (MFA). The cyber attack was widely reported at the time, with reports of disruption to critical services such as NHS 111, and other healthcare staff unable to access patient records. | 今回の罰金は、2022年8月に発生したランサムウェア・インシデントに関するものだ。ハッカーは、多要素認証(MFA)を導入していない顧客アカウントを経由して、アドバンストの医療・介護関連子会社の特定のシステムにアクセスした。このサイバー攻撃は当時広く報道され、NHS111などの重要なサービスが中断され、他の医療スタッフが患者の記録にアクセスできなくなったという報告があった。 |
| The investigation found that personal information belonging to 79,404 people was taken, including details of how to gain entry into the homes of 890 people who were receiving care at home. | 調査の結果、79,404人の個人情報が盗まれ、その中には在宅介護を受けていた890人の自宅への侵入方法の詳細も含まれていた。 |
| Our investigation concluded that Advanced’s health and care subsidiary did not have the appropriate technical and organisational measures in place to keep its health and care systems fully secure prior to the 2022 incident – including gaps in the deployment of MFA, a lack of comprehensive vulnerability scanning and inadequate patch management. | 我々の調査は、アドバンスト社の医療・介護子会社が、2022年のインシデント以前に、医療・介護システムを完全に安全な状態に保つための適切な技術的・組織的対策(MFAの展開におけるギャップ、包括的な脆弱性スキャンの欠如、不適切なパッチ管理など)を講じていなかったと結論づけた。 |
| John Edwards, Information Commissioner, said: | 情報コミッショナーのジョン・エドワーズは次のように述べた: |
| “The security measures of Advanced’s subsidiary fell seriously short of what we would expect from an organisation processing such a large volume of sensitive information. While Advanced had installed multi-factor authentication across many of its systems, the lack of complete coverage meant hackers could gain access, putting thousands of people’s sensitive personal information at risk. | 「アドバンスト社の子会社のセキュリティ対策は、このような大量の機密情報を処理する組織として期待されるものに著しく欠けていた。アドバンスト社は多くのシステムに多要素認証を導入していたが、完全にはカバーされていなかったため、ハッカーがアクセスする可能性があり、何千人もの人々の機密個人情報をリスクにさらしていた。 |
| "People should never have to think twice about whether their medical records are in safe hands. To use services with confidence, they must be able to trust that every organisation coming into contact with their personal information – whether that’s using it, sharing it or storing it on behalf of others – is meeting its legal obligations to protect it. | 「人々は、自分の医療記録が安全な手に委ねられているかどうか、決して考え直す必要はないはずだ。安心してトラストサービスを利用するためには、自分の個人情報に接するすべての組織が、その使用、共有、保管のいずれにおいても、個人情報を保護する法的義務を果たしていることを信頼できなければならない。 |
| “With cyber incidents increasing across all sectors, my decision today is a stark reminder that organisations risk becoming the next target without robust security measures in place. I urge all organisations to ensure that every external connection is secured with MFA today to protect the public and their personal information - there is no excuse for leaving any part of your system vulnerable.” | 「あらゆる分野でサイバーインシデントが増加する中、本日の私の決定は、組織が強固なセキュリティ対策を講じなければ、次の標的となるリスクがあることを痛感させるものである。国民とその個人情報を保護するため、すべての組織に対し、すべての外部接続をMFAで確実に保護するよう求める。 |
| We announced our provisional intention to fine Advanced £6.09m in August 2024. Advanced then submitted representations on the provisional decision, which have been carefully considered by the ICO. | 我々は、2024年8月にアドバンスド社に609万ポンドの罰金を科す暫定的な意向を発表した。アドバンス社はその後、この仮決定に対する異議申し立てを提出し、ICOはこれを慎重に検討した。 |
| Several factors from these representations led to a reduction in the fine, including Advanced’s proactive engagement with the National Cyber Security Centre (NCSC), the National Crime Agency (NCA) and the NHS in the wake of the attack and other steps taken to mitigate the risk to those impacted. | これらの申し立てから、アドバンスド社が攻撃を受けて国家サイバーセキュリティセンター(NCSC)、国家安全保障局(NCA)、NHSと積極的に関与したこと、影響を受けた人々のリスクを緩和するために他の措置をとったことなど、いくつかの要因が罰金の減額につながった。 |
| The ICO and Advanced have now agreed a voluntary settlement. Advanced has acknowledged our decision to impose a reduced fine and agreed to pay a final penalty of £3,076,320 without appealing. | ICOとアドバンストは現在、自主的な和解に合意している。アドバンストは、減額された罰金を科すという我々の決定を認め、控訴することなく最終的な罰金307万6320ポンドを支払うことに同意した。 |
| John Edwards added: | ジョン・エドワーズはこう付け加えた: |
| “I welcome the settlement with Advanced which concludes our investigation into this incident, providing regulatory certainty to organisations without the delay and cost of an appeals process.” | 「アドバンスド社との和解により、このインシデントに関する我々の調査が終了し、不服申し立てプロセスの遅延やコストをかけることなく、組織に規制上の確実性を提供できることを歓迎する。 |
| Organisations must be taking proactive steps to assess and mitigate risks, such as implementing comprehensive MFA (or an equivalent measure), regularly scanning for vulnerabilities and keeping systems up to date with the latest security patches. | 組織は、包括的なMFA(または同等の対策)の導入、脆弱性の定期的なスキャン、最新のセキュリティパッチを適用したシステムの維持など、リスクを評価し緩和するための積極的な措置を講じる必要がある。 |
| We have detailed guidance on protecting systems from ransomware attacks, as well as guidance on the responsibilities of data processors and controllers. | 我々は、ランサムウェア攻撃からシステムを保護するための詳細なガイダンスや、データ処理者および管理者の責任に関するガイダンスを用意している。 |
| Last year, we shared lessons learnt from common security mistakes and called on organisations to do more to combat the growing cyber threat. | 昨年は、よくあるセキュリティ上の過ちから学んだ教訓を共有し、増大するサイバー脅威と闘うために組織に対してさらなる努力を呼びかけた。 |
| The full monetary penalty notice can be found here. | 罰金通知の全文はこちらで見ることができる。 |
・・2025.03.27 Advanced Computer Software Group Limited
| Advanced Computer Software Group Limited | アドバンスト・コンピュータ・ソフトウェア・グループ・リミテッド |
| The Information Commissioner’s Office (ICO) has fined Advanced Computer Software Group Ltd (Advanced) £3.07m for security failings that put the personal information of 79,404 people at risk. | 情報コミッショナー事務局(ICO)は、79,404人の個人情報をリスクにさらしたセキュリティの不備に対し、Advanced Computer Software Group Ltd(Advanced社)に307万ポンドの罰金を科した。 |
| Advanced provides IT and software services to organisations, including the NHS and other healthcare providers, and processes people’s personal information on behalf of these organisations. | アドバンストは、NHSやその他の医療プロバイダを含む組織にITおよびソフトウェアサービスを提供し、これらの組織に代わって人々の個人情報を処理している。 |
| The fine relates to a ransomware incident in August 2022. Hackers accessed certain systems of Advanced’s health and care subsidiary via a customer account that did not have multi-factor authentication (MFA). The cyber attack was widely reported at the time, with reports of disruption to critical services such as NHS 111, and other healthcare staff unable to access patient records. | 今回の罰金は、2022年8月に発生したランサムウェア・インシデントに関するものだ。ハッカーは、多要素認証(MFA)を導入していない顧客アカウントを経由して、アドバンストの医療・介護関連子会社の特定のシステムにアクセスした。このサイバー攻撃は当時広く報道され、NHS111などの重要なサービスが中断され、他の医療スタッフが患者の記録にアクセスできなくなったという報告があった。 |
| Software provider fined £3m following 2022 ransomware attack | 2022年のランサムウェア攻撃でソフトウェアプロバイダに300万ポンドの罰金 |
| About the ICO | ICOについて |
| Advanced Penalty Notice 20250327 | 上級罰金通知20250327 |
・[PDF] Advanced Penalty Notice 20250327
当初の発表...
当時のニュース...
● BBC
・2022.08.11 NHS IT supplier held to ransom by hackers
・2022.08.06 NHS 111 software outage confirmed as cyber-attack
関連して...
2017年5月にNHSがWannaCryの攻撃を受けた時...
・2018.04.18 NHS ransomware attack response criticised
・2017.10.27 NHS 'could have prevented' WannaCry ransomware attack
・2017.05.13 NHS cyber-attack: GPs and hospitals hit by ransomware
Comments