YCC情報システムへのランサムウエア攻撃で、100万件超の個人情報に漏洩のおそれがある。注目すべきは規模の大きさだけではなく、対象となったデータの中身だ。契約終了後も保有していたと見られる古いデータが含まれており、同社に業務を委託した自治体や企業などの管理や監督のあり方も問われそうだ。
YCC情報システムは2026年4月、ランサムウエア攻撃を受け、ファイルサーバーが暗号化された。同社に業務を委託していた自治体や企業・団体は、個人情報の漏洩のおそれがあると相次いで公表している。日経クロステックの調査では、2026年6月時点でその数は山形県内を中心に20近くに上り、対象件数は合計で延べ100万件を超える。YCC情報システムは2026年5月20日に発表した第5報で、管理者アカウントの認証情報を悪用されて内部ネットワークに侵入された可能性があるとした。
影響を受けた自治体や団体の対象となったデータを見ると、年度や内容に大きなばらつきがある。直近の業務データだけでなく、契約終了後も残っていたと見られる古いデータが含まれているためだ。山形市の職員は日経クロステックの取材に対し「(対象となっているデータは)契約が終了しており、本来であれば削除されているべきデータだった」と話す。山形交通では20年以上前の2002年度データも対象になっていた。同社の担当者は「当時どのような契約を交わしていたのかを詳しく知っている人間が社内におらず、実態が分からない」と話す。