全てが紐付けられれば、ハッカーはマイナカードを集中攻撃する。それがハッカーにとって効率的だから。
<国内の社会保険労務士の多くが利用している業務支援システム「社労夢(シャローム)」に対し、ランサムウエア(身代金要求型ウイルス)攻撃があった。なにより気になるのは、このシステムが800万人超分のマイナンバーを含む個人情報を扱っていたこと。もし外部に流出していれば、影響は計り知れない。政府・与党によってマイナンバーの利用範囲拡大や健康保険証廃止を含む改正マイナンバー法が成立したばかりだが、こんなことで大丈夫か。(岸本拓也、木原育子)
◆完全復旧には1カ月?
「5日にサービスがダウンして今もお客さんのデータが全く見られない。繁忙期なのに勘弁してほしい」 北陸地方の社会保険労務士事務所に勤める50代の女性は14日、「こちら特報部」の取材に憤まんやる方ない様子で話した。
発端は「社労夢」を提供するエムケイシステム(大阪市)が、ランサムウエアによるサイバー攻撃を受けたことだ。同社の発表文によると、5日早朝にデータセンターのサーバーがダウンし、調査したところ、サイバー攻撃を受けたことが分かった。
発生から約10日たった現在もシステムは復旧しておらず、主力の社労夢をはじめ、関連する複数のサービスがほとんど使えない状況が続いている。女性は「完全復旧には1カ月近くかかると聞いた。給与計算や社会保険の更新手続きなど、すべて手作業でやっている」と話す。
同社のウェブサイトによると、社労夢は、社労士向け業務支援システムで国内シェアトップ。4月1日現在で、約57万事業所を管理し、約826万人分の個人情報を扱っていた。同社は、外部に情報流出した可能性がないか調査しているが、9日時点では「漏えいした事実は確認していない」としている。
◆氏名、生年月日、給与、ナンバーも管理
気になるのが、社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点だ。
先の女性によると、社会保険や雇用保険、健康保険証の取得や喪失、離職票の発行など、社労士事務所が取り扱う多くの委託業務にマイナンバーが必要という。「書類をつくるたびに、社労夢のシステムに事前に預けた顧客企業の従業員のマイナンバーをシステムから引っ張っている。もしマイナンバーも含めて外部にごっそり流出していたら相当に怖い」と話す。
NTTデータ先端技術のウェブサイトは、「マイナンバー単体ではほとんど使い道はない」としつつ、マイナンバーを含んだ形で個人情報が漏えいした場合には、(1)マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われる(2)他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われる—といったリスクがあると指摘する。
今回のケースで「ごっそり」というなら、マイナンバーとその他の個人情報がセットになり、(1)(2)のリスクが高まる恐れもある。
◆システム提供企業は「回答控える」
エムケイシステムはこうした事態をどう受け止めているのか。こちら特報部は、流出の恐れのある個人情報の中にマイナンバーが含まれていたかどうかなどを質問したが、「本件に関するメディアへの回答は差し控える」と答えた。
同社も混乱しているようだ。サイバー攻撃などで情報漏えいした恐れがある場合、社労士事務所だけでなく、社労士に給与管理などの業務を委託していた企業も、個人情報保護委員会へ報告する義務がある。
しかし、東北地方の社労士男性によると、同社から11日に「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように働きかけをしている」と連絡があったが、翌12日には一転、「報告は必須」とし、「誤った情報発信したことを深くおわびする」と謝罪があったという。男性は「不誠実な対応をして、顧客が離れるならまだしも、損害賠償を請求されるのが怖い」と漏らした。
◆「ひも付け」増やすリスク
今回の件について、社労士を所管する厚生労働省の担当者は「状況把握を進めている」と話す一方、漏えいの恐れのある情報にマイナンバーが含まれていたかどうかは「エムケイシステムがどういう形で情報を保管していたか把握できていない」と述べるにとどめた。保護委は「個別事案には答えられない」と話した。
なんとも不安が残るが、エムケイシステムによる被害公表の3日後にあたる9日、岸田文雄内閣が閣議決定した「デジタル社会の実現に向けた重点計画」を読むと、こんな状況で進めていいのかと思われる内容ばかりだ。
計画の柱に据えるのは、行政手続きでのマイナンバー利用範囲拡大、預貯金口座とのひも付けなどマイナンバー制度そのものの拡大と、マイナンバーカードと各種証明書との「一体化」だ。批判の多い「マイナ保険証」はもちろん、母子健康手帳なども一体化を目指し、さらにマイナカードを「市民カード化」するとして市民生活のあらゆる場面に入り込ませ、買い物などでの民間活用も推進する、というものだ。
◆トラブル、ミスのオンパレード
マイナンバー制度に詳しい水永誠二弁護士は「多目的に利用するようにし、多くのものにひも付けばひも付くほど、漏えいの際の被害は当然大きくなる」と指摘する。これまでは社会保障と税、災害対策の3分野に限られていたマイナンバーの利用範囲を、今後は国家資格や自動車登録、在留外国人の関連事務などへ拡大していく。「これらもマイナンバーを含む個人情報として保管されることが多いと考えられるので、今回と同様なリスクがあるのでは」と警告する。
外部からのサイバー攻撃ではなくても、そもそも、マイナンバーをめぐるシステムは不安だらけだ。
加藤勝信厚生労働相は13日の閣議後会見で、新たにマイナ保険証で誤登録が60件見つかったと公表。受診履歴や薬剤情報など他人に閲覧されていたのは、新たに4件あったと明かした。厚労省はこれまで2021年10月〜22年11月までに7312件の誤登録を公表しており、第三者による閲覧はこれで計10件に上る。
◆「運用を止めて、立て直しを」
岸田文雄首相も同日の記者会見で、マイナンバーに関連するデータやシステムを秋までに総点検するとした。ただ、河野太郎デジタル相は「(トラブルは)マイナンバー、マイナンバーカードのシステムの仕組みに起因するものではない」として、悪いのは登録を誤るなどデータを入力した人間、ヒューマンエラーだという立場を崩していない。
ITと人権に詳しいジャーナリストの星暁雄氏は「マイナンバーで業務の何がよくなるのか、各省庁でも国民の間でもビジョンが共有できていない中でまい進してきた。誤登録などの遠因となったのでは」と疑問を呈する。相次ぐトラブルについて「ヒューマンエラーがあってもそれをカバーできる態勢にそもそもなっていない」とする。
そもそも、ヒューマンエラーがあってもトラブル化しないようにするシステム設計が基本なはずで、「本来は立ち止まって業務設計を見直すのが筋。トラブルが相次いでいるのは無理をさせているサインだ。いったん運用を停止して立て直すという時期にきている」と語る。
◆デスクメモ
今回、報告義務の相手先として名前の挙がった個人情報保護委員会。「独立性の高い内閣府の外局」というが、ふだん存在感がない。これだけ個人情報関連の問題が噴出した一連のマイナンバー法改正議論でも、表に出てきた記憶がない。個人情報への政府の姿勢を示唆しているのか。 (歩)>(以上「東京新聞」より引用)
◆完全復旧には1カ月?
「5日にサービスがダウンして今もお客さんのデータが全く見られない。繁忙期なのに勘弁してほしい」 北陸地方の社会保険労務士事務所に勤める50代の女性は14日、「こちら特報部」の取材に憤まんやる方ない様子で話した。
発端は「社労夢」を提供するエムケイシステム(大阪市)が、ランサムウエアによるサイバー攻撃を受けたことだ。同社の発表文によると、5日早朝にデータセンターのサーバーがダウンし、調査したところ、サイバー攻撃を受けたことが分かった。
発生から約10日たった現在もシステムは復旧しておらず、主力の社労夢をはじめ、関連する複数のサービスがほとんど使えない状況が続いている。女性は「完全復旧には1カ月近くかかると聞いた。給与計算や社会保険の更新手続きなど、すべて手作業でやっている」と話す。
同社のウェブサイトによると、社労夢は、社労士向け業務支援システムで国内シェアトップ。4月1日現在で、約57万事業所を管理し、約826万人分の個人情報を扱っていた。同社は、外部に情報流出した可能性がないか調査しているが、9日時点では「漏えいした事実は確認していない」としている。
◆氏名、生年月日、給与、ナンバーも管理
気になるのが、社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点だ。
先の女性によると、社会保険や雇用保険、健康保険証の取得や喪失、離職票の発行など、社労士事務所が取り扱う多くの委託業務にマイナンバーが必要という。「書類をつくるたびに、社労夢のシステムに事前に預けた顧客企業の従業員のマイナンバーをシステムから引っ張っている。もしマイナンバーも含めて外部にごっそり流出していたら相当に怖い」と話す。
NTTデータ先端技術のウェブサイトは、「マイナンバー単体ではほとんど使い道はない」としつつ、マイナンバーを含んだ形で個人情報が漏えいした場合には、(1)マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われる(2)他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われる—といったリスクがあると指摘する。
今回のケースで「ごっそり」というなら、マイナンバーとその他の個人情報がセットになり、(1)(2)のリスクが高まる恐れもある。
◆システム提供企業は「回答控える」
エムケイシステムはこうした事態をどう受け止めているのか。こちら特報部は、流出の恐れのある個人情報の中にマイナンバーが含まれていたかどうかなどを質問したが、「本件に関するメディアへの回答は差し控える」と答えた。
同社も混乱しているようだ。サイバー攻撃などで情報漏えいした恐れがある場合、社労士事務所だけでなく、社労士に給与管理などの業務を委託していた企業も、個人情報保護委員会へ報告する義務がある。
しかし、東北地方の社労士男性によると、同社から11日に「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように働きかけをしている」と連絡があったが、翌12日には一転、「報告は必須」とし、「誤った情報発信したことを深くおわびする」と謝罪があったという。男性は「不誠実な対応をして、顧客が離れるならまだしも、損害賠償を請求されるのが怖い」と漏らした。
◆「ひも付け」増やすリスク
今回の件について、社労士を所管する厚生労働省の担当者は「状況把握を進めている」と話す一方、漏えいの恐れのある情報にマイナンバーが含まれていたかどうかは「エムケイシステムがどういう形で情報を保管していたか把握できていない」と述べるにとどめた。保護委は「個別事案には答えられない」と話した。
なんとも不安が残るが、エムケイシステムによる被害公表の3日後にあたる9日、岸田文雄内閣が閣議決定した「デジタル社会の実現に向けた重点計画」を読むと、こんな状況で進めていいのかと思われる内容ばかりだ。
計画の柱に据えるのは、行政手続きでのマイナンバー利用範囲拡大、預貯金口座とのひも付けなどマイナンバー制度そのものの拡大と、マイナンバーカードと各種証明書との「一体化」だ。批判の多い「マイナ保険証」はもちろん、母子健康手帳なども一体化を目指し、さらにマイナカードを「市民カード化」するとして市民生活のあらゆる場面に入り込ませ、買い物などでの民間活用も推進する、というものだ。
◆トラブル、ミスのオンパレード
マイナンバー制度に詳しい水永誠二弁護士は「多目的に利用するようにし、多くのものにひも付けばひも付くほど、漏えいの際の被害は当然大きくなる」と指摘する。これまでは社会保障と税、災害対策の3分野に限られていたマイナンバーの利用範囲を、今後は国家資格や自動車登録、在留外国人の関連事務などへ拡大していく。「これらもマイナンバーを含む個人情報として保管されることが多いと考えられるので、今回と同様なリスクがあるのでは」と警告する。
外部からのサイバー攻撃ではなくても、そもそも、マイナンバーをめぐるシステムは不安だらけだ。
加藤勝信厚生労働相は13日の閣議後会見で、新たにマイナ保険証で誤登録が60件見つかったと公表。受診履歴や薬剤情報など他人に閲覧されていたのは、新たに4件あったと明かした。厚労省はこれまで2021年10月〜22年11月までに7312件の誤登録を公表しており、第三者による閲覧はこれで計10件に上る。
◆「運用を止めて、立て直しを」
岸田文雄首相も同日の記者会見で、マイナンバーに関連するデータやシステムを秋までに総点検するとした。ただ、河野太郎デジタル相は「(トラブルは)マイナンバー、マイナンバーカードのシステムの仕組みに起因するものではない」として、悪いのは登録を誤るなどデータを入力した人間、ヒューマンエラーだという立場を崩していない。
ITと人権に詳しいジャーナリストの星暁雄氏は「マイナンバーで業務の何がよくなるのか、各省庁でも国民の間でもビジョンが共有できていない中でまい進してきた。誤登録などの遠因となったのでは」と疑問を呈する。相次ぐトラブルについて「ヒューマンエラーがあってもそれをカバーできる態勢にそもそもなっていない」とする。
そもそも、ヒューマンエラーがあってもトラブル化しないようにするシステム設計が基本なはずで、「本来は立ち止まって業務設計を見直すのが筋。トラブルが相次いでいるのは無理をさせているサインだ。いったん運用を停止して立て直すという時期にきている」と語る。
◆デスクメモ
今回、報告義務の相手先として名前の挙がった個人情報保護委員会。「独立性の高い内閣府の外局」というが、ふだん存在感がない。これだけ個人情報関連の問題が噴出した一連のマイナンバー法改正議論でも、表に出てきた記憶がない。個人情報への政府の姿勢を示唆しているのか。 (歩)>(以上「東京新聞」より引用)
マイナカードのシステム・エラーが大問題になりそうだ。最初にシステム設計した富士通に対して、各省庁の官僚たちが紐付けと仕様変更を勝手に申し出て、システムを無理やりに弄繰り回した結果、システム統合バランスが崩れたようだ。
例えば、当初は利用時にログインして利用終了と同時にログアウトするようにシステム設計していたが、それでは利用者が使用時に毎回ログインしなければならず「不便」ではないか、と官僚たちからの抗議でログアウトしないようにしたという。こんな危険なシステム構造に国民一人一人のすべての情報を紐付けるなど、考えるだけでもゾッとする。
記事で「水永誠二弁護士は「多目的に利用するようにし、多くのものにひも付けばひも付くほど、漏えいの際の被害は当然大きくなる」と指摘」しているというが、情報漏洩だけではない。ハッカーにとってマイナ・カード・システムに侵入すれば、そこに日本国民すべての個人情報とともに銀行口座なども紐付けられているのなら、他のシステムに侵入するよりも遥かに大きな成果を手に出来る。つまりマイナカード・システムが世界中のハッカーの攻撃目標になる、ということだ。
しかも一度ログインすれば何度でもログインできるのなら、ハッカーにとってこれほど便利なことはない。システム設計で個々のマイナカードの登録に「名前」や「生年月日」などを利用しているというが、「名前」の登録からして日本ではテンデバラバラだ。たとえば銀行ではカタカナが用いられ、外国人登録ではアルファベットが用いられている。マイナカードでは漢字とヒラカナ併用というから、各システムとの個人情報の共有化には大きな壁が立ちはだかる。
記事にあるが運転免許証だけでなく「マイナ保険証」はもちろん、母子健康手帳なども一体化を目指し、さらにマイナカードを「市民カード化」するとして市民生活のあらゆる場面に入り込ませ、買い物などでの民間活用も推進する、といから驚く。しかも五年毎に顔写真を貼り替えらせて「個人認証」するとしたら日本は中国以上の監視社会になる。
記事で指摘しているが「社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点」が問題だというが、マイナンバーを記載させているのは税務申告書も同様だ。確定申告書が申告後に税務署内でどのように扱われているのか、国民にとってはブラックボックスだが、氏名・住所や同居する親族からマイナンバーまで記載されている申告書の始末はどうなっているのか気になる。
800万人の個人情報を扱っている社会保険労務士の業務支援システム「社労夢(シャローム)」へのハッカー侵入が確認されたというが、人が作ったシステムにハッカーが侵入するのを完璧に防ぐことは出来ない。完璧にハッカー侵入を防御できるシステムがあるとすれば、それはネットに接続されない個人的なシステムでしかありえない。
全国民が接続できるマイナカードがハッカーに狙われれば、侵入されるのは時間の問題だ。個人情報管理の点からいえば、すべての情報を一ヶ所で扱うのは言語道断だ。各省庁や金融機関の個人情報がそれぞれの象徴や金融機関等で個々に管理されている方が安全性は高い。すべてが紐付けられれば、一網打尽に個人情報が手に入るため、世界中のハッカーたちがマイナカードに殺到するのは当然ではないか。IT化と個人情報管理とは相反することを政治家諸氏は学習すべきだ。