マイナンバー2015
ニュース
» 2015年07月06日 07時30分 公開

マイナンバー・企業の対応と注意点:マイナンバー制度の情報漏えいリスクを検証する(前編) (3/3)

[日立コンサルティング,ITmedia]
前のページへ 1|2|3       

日本年金機構の情報漏えい事故の概要

 具体的な検証に入る前に、今回の情報漏えい事故につながった主な事象について整理します。原因の詳細は、厚生労働省の設置した第三者から構成される「日本年金機構不正アクセス事案検証委員会」での究明を待つことになりますが、ここでは報道などで明らかになっている事故につながった主な事象を整理し、その概要を把握します。

 以下に、事故につながった主な事象を挙げていますが、これらから概要をまとめると、「閉鎖的なネットワークで利用されていた基幹システムである社会保険オンラインシステムから、インターネットにつながっているファイル共有サーバへ個人情報をコピーした上で作業していた状況で、標的型攻撃メールを通じて新種ウイルスに感染した職員端末を経由して不正アクセスが行われ、ファイル共有サーバから個人情報の漏えいが発生した」ということが分かります。

情報漏えい事故につながった主な事象

  1. インターネットから切り離されている閉鎖的なネットワークで利用されていた社会保険オンラインシステムから、記録媒体(CD-ROM)等を用いてインターネットにつながっているファイル共有サーバへ個人情報をコピーし、作業していた(内規では個人情報をファイル共有サーバへ保存することを原則禁止していた)
  2. 個人情報を保存する場合に、一部のファイルにしかパスワードが設定されていなかった(内規では、個人情報を保存する場合にはファイルに「人に推測されにくいパスワード」を設定することを義務付けていた)
  3. 職員が標的型攻撃メールに添付されたファイルを開封し、1回目のウイルス感染が発生
  4. 1回目のウイルス感染の発生により、全職員へ標的型攻撃メールに対する注意喚起が通知されたが、通知・対応の不徹底から別の職員が再度標的型攻撃メールに添付されたファイルを開封し、2回目以降のウイルス感染が発生
  5. ウイルス対策ソフトを利用していたが、新種のウイルスであったため、検知することができなかった

 今回は、マイナンバー制度における特定個人情報の保護措置がどのように検討されてきたのか、そして、日本年金機構での情報漏えい事故において注目すべき事象を取り上げました。次回は、これらの観点を踏まえてマイナンバーで想定される2つのセキュリティリスクを検証します。

執筆者紹介

日立コンサルティング シニアコンサルタント 並木雅

青山学院大学大学院理工学研究科経営工学科専攻修了後、2003年に日立製作所に入社、日立コンサルティングに移籍。自治体の業務分析や業務・システム最適化に向けたコンサルティングを中心に担当。現在は、自治体、民間事業者に対し、番号制度にかかるコンサルテーション等に従事。


特集まとめ読み特別冊子 プレゼント応募フォーム

特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。


<<< 応募はこちらから



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -