Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

群馬銀行のマイナンバー書類の誤裁断事件を考えてみた。

群馬銀行は11月9日、マイナンバーの告知の返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断した事を発表しました。紙媒体の個人情報漏えい(の可能性がある)事件は、普段はあまり調査をすることはないのですが、リリースを見ると気がかりな点があったので、コメントしてみます。

◆マイナンバー書類の誤裁断について|2017年度|ニュースリリース|群馬銀行

 

リリース概要

業務の外部委託先におきまして、郵送していただいた返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断するという事案が発生いたしました

調査の結果、シュレッダー裁断した裁断片は全て確保しており、お客さまの情報が外部に流出していないことを確認しております

 

1つがリリースが2017年11月9日で、発生が10月13日ですので、1ヶ月弱の空白期間があります。この間に銀行側(委託業者)が何をしていたのか、何も公表されてないことです。クレジットカード情報漏えい事件であれば、フォレンジック調査やシステム改修などもあるので一定時間が経過する事はよくありますが、今回は誤裁断ですので、もっと早くに判明しているはずでは?と疑問に思うわけです。銀行側や委託先が隠していた・・・とは思いませんが、事件を握りつぶそうとしていた、あるいは(こちらの方が問題だと思いますが断裁事件が発生した事を1ヶ月近く気づかなかった、という事まで考えられます。

仮に調査に時間がかかっていたとすれば、監視カメラ下になかったので、ヒアリングベースで事件を調べていて時間がかかった?等々・・・1ヶ月弱の間に何をしていたのか、やはり気になってしまいます。

 

それと、外部委託先管理問題ですが・・・

発生時期 平成29年10月13日(金) 午後2時頃

発生理由 当行システムへマイナンバーを登録後にシュレッダー裁断すべきところ、誤って登録前に裁断してしまったものです。 

これはミスが起こりえる運用手順であったとしか思えません。普通は間違えが起こりえないように、場所をわけたり、作業工程表で管理したりする・・・気がするのですが。外部委託先の運用を、それで正しいとした銀行側の管理責任もあったのかなと想像します。

 

 

 シュレッダーのイラスト