ニュース
マイナンバー制度の情報漏えいリスクを検証する(前編):マイナンバー・企業の対応と注意点(3/3 ページ)
日本年金機構での情報漏えい事故を契機に、マイナンバー制度でも同様のリスクを懸念する声が聞かれますが、本当に危険なのでしょうか。特定個人情報の保護措置がどのように検討されてきたのかについて検証します。
日本年金機構の情報漏えい事故の概要
具体的な検証に入る前に、今回の情報漏えい事故につながった主な事象について整理します。原因の詳細は、厚生労働省の設置した第三者から構成される「日本年金機構不正アクセス事案検証委員会」での究明を待つことになりますが、ここでは報道などで明らかになっている事故につながった主な事象を整理し、その概要を把握します。
以下に、事故につながった主な事象を挙げていますが、これらから概要をまとめると、「閉鎖的なネットワークで利用されていた基幹システムである社会保険オンラインシステムから、インターネットにつながっているファイル共有サーバへ個人情報をコピーした上で作業していた状況で、標的型攻撃メールを通じて新種ウイルスに感染した職員端末を経由して不正アクセスが行われ、ファイル共有サーバから個人情報の漏えいが発生した」ということが分かります。
情報漏えい事故につながった主な事象
- インターネットから切り離されている閉鎖的なネットワークで利用されていた社会保険オンラインシステムから、記録媒体(CD-ROM)等を用いてインターネットにつながっているファイル共有サーバへ個人情報をコピーし、作業していた(内規では個人情報をファイル共有サーバへ保存することを原則禁止していた)
- 個人情報を保存する場合に、一部のファイルにしかパスワードが設定されていなかった(内規では、個人情報を保存する場合にはファイルに「人に推測されにくいパスワード」を設定することを義務付けていた)
- 職員が標的型攻撃メールに添付されたファイルを開封し、1回目のウイルス感染が発生
- 1回目のウイルス感染の発生により、全職員へ標的型攻撃メールに対する注意喚起が通知されたが、通知・対応の不徹底から別の職員が再度標的型攻撃メールに添付されたファイルを開封し、2回目以降のウイルス感染が発生
- ウイルス対策ソフトを利用していたが、新種のウイルスであったため、検知することができなかった
今回は、マイナンバー制度における特定個人情報の保護措置がどのように検討されてきたのか、そして、日本年金機構での情報漏えい事故において注目すべき事象を取り上げました。次回は、これらの観点を踏まえてマイナンバーで想定される2つのセキュリティリスクを検証します。
特集まとめ読み特別冊子 プレゼント応募フォーム
特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。
関連記事
- マイナンバーカードの「裏」
2016年1月から公布される「個人番号カード」、基本4情報に加えて顔写真までついて運転免許証よりも取得ハードルの低い身分証明書だね。と思っていたら大きな落とし穴がありますよ。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - マイナンバー対応ふまえた、日本企業「データ保護」の課題
Vometricが公開した内部犯行に関する調査リポートにより、改めて日本独特の課題が浮かび上がった。日本企業は、マイナンバー対応をふまえた「データ保護」のセキュリティをどんな観点で考えるべきか - 「マイナンバー」とは? 統一番号の試みた歴史
最近様々なところで話題になっている「マイナンバー」だが、こうした試みは古くからあり、筆者も現場で様々な経験をしてきた。「マイナンバー」にまつわる経緯を紐解いてみたい。
Copyright © ITmedia, Inc. All Rights Reserved.