Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。

mainichi.jp

 

国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収票などのデータ入力業務を行っていた。

 マイナンバー法では、無許可の再委託は禁止されているが、同社は繁忙を理由に国内の3業者に再委託していた。再委託先に流した約70万件のうち約55万件はマイナンバーが記載されていたとみられる。両局は同社との契約を既に解除し、今後、入札参加資格の停止を行う予定。

毎日新聞記事より引用)

 

◆キタきつねの所感

お役所が誤送信、銀行が誤って断裁・・・こうしたマイナンバーの情報漏えいについては、それなりの件数が発生しています。個人情報保護委員会の上半期データでは、重大インシデントは2件となっていますが、この事件が今年3件目(以降)となる事は間違いありません。

【セキュリティ ニュース】2018年度上半期の個人情報事故報告は596件 - 特定個人情報は157件(1ページ目 / 全2ページ):Security NEXT

 

マイナンバーを取り扱う、事業者が不正に再委託をする事件については、今年3月の日本年金機構の500万件のデータ漏洩事件がありました。中国の業者に作業をさせていたという事から考えると、既に中国にはマイナンバーを含む個人情報(の一部)は渡ってしまっていると考えられます。

mainichi.jp

 

日本のマイナンバー導入の(良い意味でも悪い意味でも)参考とした、米国のSSS(=ソーシャルセキュリティナンバー=社会保障番号)は、米国でのサイバー攻撃で既に全国民分の番号が(何度も)漏洩しているのではないか、と言われています。

こうした番号は、個人の行動を把握する材料となりますので、例えば政府高官への標的側攻撃の際に、基礎調査データとして(スパイ活動に)使われる可能性があります。元々は漏洩してはいけない情報として厳重に管理されるべき対象なのですが、こうした漏洩が増え、付随情報と併せる(ビックデータ解析を行う)事で、借金や風俗利用が多いことまで判明したら、極端な話、賄賂や美人局を仕掛けてくる事も国家規模の攻撃につながってしまう事も有り得るのです。

今回の情報漏えい事件ですが、正直に言えば、私はペナルティが甘い気がします。

そのデータが漏洩して海外に行ってしまった場合、不正利用が現在はされていなくても、今後そのデータが使われない保障はありません。ましてや国税といった情報であれば、例えその会社が事故のペナルティを受けて潰れたとしても、その情報価値は間接的にコストメリットがあると判断して、そうした狙われ方をされる事も十分に想定できます。

 

業者の選定という部分で、委託先は処理能力まで含めて、もっと厳格に審査されるべきなのではないかなと思います。また契約解除と入札禁止程度ではないペナルティも科す必要があるのではないでしょうか。でなければ、こうした事件は定期的に発生し、米国のSSNの様に、マイナンバーの秘匿性はまったくなくなってしまう可能性が高いかと思います。

 

とあるセキュリティの専門家の方と雑談した際に、日本のマイナンバーはDeepWebにもう存在している、と聞きました。その真偽は私には分かりませんが、間違った情報を出される方ではないので、恐らく事実に近いのかと思います。

 

ãã¤ãã³ãã¼ã®å人çªå·ã«ã¼ãã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月16日AM(予約投稿)