プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報漏えい事件

53
(画像は取手市Webサイトより)

10月5日から、全国の自治体におけるマイナンバーを記載した住民票の発行が順次始められていますが、いくつかトラブルが発生しています。

(1)取手市のケース

茨城県取手市では、自動交付機で発行された住民票に、本人の希望がないにもかかわらず設定ミスによりマイナンバーが記載されてしまうトラブルが発生しました。対象者は100人分だそうです。このうち、すでに住民票を使用した60人について、マイナンバーをすべて変更する方針とのことです。

(2)茨城県美浦村のケース

茨城県美浦村では、窓口で住民票を交付する際に、本人の希望がないにもかかわらず職員の操作ミスでマイナンバーが記載されてしまうトラブルが発生しました。対象者は28人分だそうです。このうち、すでに住民票を使用した16人について、マイナンバーを変更する方針とのことです。

(3)札幌市厚別区のケース

札幌市厚別区役所では、窓口で住民票を交付する際に、「住民票コード」の記載を請求されていたのに、間違えて「マイナンバー」を記載して発行してしまったといいます。この2名については、本人の意思を確認した上でマイナンバーの変更を行うとしています。

(4)千葉県船橋市のケース

千葉県船橋市では、自動交付機で発行された住民票に、本人が希望しているにもかかわらずデータ連携のミスによりマイナンバーが記載されないトラブルが一部で発生しました。対象者は46人分だそうです。希望とは異なる住民票を交付した対象者には、個別に連絡を取るとのことです。

(私のコメント)
さっそく、全国でいろんなトラブルが起こっていますね。住民票発行を担当される職員の方には、もう一度、システムの設定と操作手順などを確認していただきたいと思います。



Pension_handbook_(Japan)
(画面はWikipediaより)

6月に公表された大規模な個人情報流出事件に関して、日本年金機構は情報が流出した96万人について基礎年金番号を再発行し、被保険者(約43万人)には新しい年金手帳を、受給者(約52万人)には新しい年金証書を、それぞれ簡易書留で送付すると8月20日付で発表しました。

発送作業は8月24日から開始され、9月中には全ての対象者への発送が完了する見通しとのことです。

年金機構では、今回の年金基礎番号の変更に関して、勤務先や市区町村への連絡も全て機構側で行うため、対象者としては受け取った年金手帳や年金証書を保管しておくだけでよく、また古い手帳や証書は廃棄してもいいし、保管していてもいいとしています。

http://www.nenkin.go.jp/n/data/service/0000029596PQPsxPHApG.pdf

(私のコメント)
約100万人に対して簡易書留を送付とのことで、郵便局としてはマイナンバーの通知カードの送付の予行演習のようになるかもしれませんね。

59
(画面は年金機構がWebサイトに掲載した資料より)

6月に公表された日本年金機構からの大規模な個人情報流出事件に関して、年金機構からの発表や、報道されている内容を元に、その後の情報をまとめておきます。

(1)お詫び状の送付は完了

日本年金機構は対象となる101万人に対するお詫び状の送付を6月中に完了したそうです。

(2)不審な電話の報告が2,000件を超える

今回の事件に便乗した不審な電話が、全国で多発しており、年金機構のコールセンターに連絡があっただけで2,000件を突破したとのことです。テレビなどでも報道されているように「年金機構から電話で連絡することはない」はずなのですが、それでも何か詐欺のきっかけにできないかと考えている人達がいるようです。

(3)膨らむ対策費用

上記お詫び状の発送コストとして、1日の衆議院厚生労働委員会で塩崎厚労相は「印刷代と郵送代で1億円強」と答えたとのことです。また9月以降、今回流出した基礎年金番号101万件を新しい番号に変更する際には簡易書留での送付を考えているそうで、その際には今回よりもっと多くのコストが見込まれるとのことです。

また、年金機構では、専門のコールセンターを開設して加入者の対応にあたっていますが、この規模が1000人程度と、通常の期間の10倍になっており、単純計算で毎月4億円程度のコストになるとのことです。

(4)国会の審議は停止中

今回の流出事件をきっかけとして、参議院で審議中だった「個人情報保護法改正」「マイナンバー方改正」については、審議が停止されたままとなっています。会期が9月27日まで延長されましたので、その間になんとか通過するものと思いますが、現段階では見通しが立っていないようです。

http://www.nenkin.go.jp/n/www/index.html

(私のコメント)
年金機構事件は、公的機関からのものとしては、初めての大規模な個人情報流出事件と言えます。だからこそ「不審な電話」が起こったり、国会の審議にまで影響が出たり、予期せぬ影響が広がっています。


(画面はLAC社の分析資料より)

大きな問題となっている日本年金機構からの個人情報流出事件について、情報セキュリティの専門会社である会社ラック(東京都千代田区)による分析資料が公開されましたので、本Blogでもご紹介します。

(要旨)
今回の事件は「標的型サイバー攻撃」によるものである。年金機構では加入者の情報を「社会保険オンラインシステム」という基幹システムで管理されており、これはインターネットと接続された情報系システムとは接続はされておらず、本来は閉鎖ネットワークとなっていた。それにもかかわらず、何らかの理由により基幹システムから書き出された加入者情報が情報系システムに複製され、それが流出した。

今回の事件の原因は「公共団体は狙われやすいという意識を持たなかった」「実際の運用とシステムの実装がマッチしていない」「ウイルス対策と標的型攻撃の対策の違いが理解されていない」ことだ。

標的型サイバー攻撃に対する対策としては、「社員や職員の意識改革と教育」「事件・事故前提の組織体制構築」「事故対応チームの組織化」「セキュリティ監視と不正通信の洗い出し」「演習」といった取り組みが重要である。

今回の事件は衝撃的なものでもあり、危機感を持った方も多かったと思われるが、「内閣サイバーセキュリティセンターが早期に発見し、報告したこと」「年金機構が警視庁に届け出をしたこと」「警視庁が短期間に手を打ったこと」など評価できる点もあった。

http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf

(私のコメント)
非常に分かりやすいまとめです。特に最後のところで書かれていますが、今回の不正アクセスを内閣サイバーセキュリティセンターが早期に発見したのは、素晴らしいことだったと思います。日本の公共部門の信頼性が問われる事件ではありますが、抜けている部分もあれば、しっかりしている部分もあったのだと思います。



50
(画面はお詫びの手紙のイメージ画像。日本年金機構のプレスリリースより)

大きな問題となっている日本年金機構からの個人情報流出事件について、続報をまとめておきます。

(1)標的型メール攻撃による流出と判明したようです。

年金機構は当初から「ウイルスメールによる不正アクセス」と発表していましたが、その後の報道によりますと
●5月8日に、外部に公開されている問い合わせ用のメールアドレスに対してメールが送信され、福岡事務所の職員がそのメールの添付ファイルを開いたことにより、そのパソコンがウイルスに感染した。
●5月18日に、非公開の職員の業務用アドレス(100程度)に対してメールが送信され、数十台のパソコンがウイルスに感染した。
●メールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」「医療費通知」など、不自然さが感じられないもの
●送付元のアドレスは、いずれもフリーメールで4つ
●ウイルスは新種のもので、既存のウイルス対策ソフトでは検出できなかった。
●加入者のデータはデータベースで管理しているが、事務処理の都合のためにエクスポートしたデータをCD-ROMに焼いて提供する場合があり、それがファイル共有サーバーに置かれていたものが流出した。
などの事実が分かってきました。

これはもう明らかに標的型メール攻撃です。外部から侵入するルートを確立し、そのルートを使って内部のパソコンを遠隔操作し、共有サーバーに置かれたファイルを外部に持ち出す。かなり専門的な知識のある者の犯行と思われます。

(2)年金機構は125万人の年金加入者にお詫びの手紙を出すそうです。

年金機構の3日のプレスリリースによると、情報が流出した125万人にお詫びの手紙を出すそうで、すでに3日の時点で9,000通を送り出したとのこと。コールセンターの設置、基礎年金番号の変更などの対応が記載されています。

(3)個人情報保護法とマイナンバー法改正の国会審議が止まっています。

個人情報保護法とマイナンバー法の改正案について、現在参議院での審議が行われており、今週中にも内閣委員会で採決の見通しでしたが、今回の事件を受けて、審議が止まっているようです。

(4)年金機構におけるマイナンバーの利用開始を遅らせる可能性も

そもそもマイナンバーは税と社会保障のためのものであり、年金機構での活用はその中心となっていますが、今回の事件を受けて、年金機構におけるマイナンバーの利用開始を遅らせる可能性もあるとの考え方も出されているようです。(6月3日衆院厚生労働委員会の集中審議にて向井内閣審議官発言)

ということで、今回の流出事件の波紋は大きく広がっています。

年金機構の6月3日プレスリリース
http://www.nenkin.go.jp/n/data/service/0000150603ddieLmeUbc.pdf

(私のコメント)
「送られてくるメールはホンモノのメールと見分けがつかないほどよく出来ている」「使用されるウイルスは一般には出回っていないので、ウイルス対策ソフトでは引っかからない」ことから、実際のところ、標的型メール攻撃に関しては対策が非常に困難であり、完全な防止策は存在していません。これはどんな組織でも同じです。ただし、データベースから書きだした加入者データをファイル共有サーバーに置いていたというのはもう基本中の基本が守られていなかったということで、ここが最大の問題だと思います。もしそのような処理を行う必要があるのであれば、インターネットと切り離されたネットワークで取り扱うべきだったと思います。

24
(画面は日本年金機構のWebサイトより)

昨日から報道で話題となっている日本年金機構からの個人情報流出事件について、まとめておきます。

まず、日本年金機構とは、旧社会保険庁を廃止した後に新設された特殊法人であり、国民年金、厚生年金などの手続きを全て行っています。また、全国健康保険協会(協会けんぽ)の資格取得などの取扱いについても、窓口としての業務を行っています。したがって、事実上ほぼ全ての成人国民と、一部の扶養家族の個人情報を扱っている団体と言えます。

今回流出した情報は、年金加入者の「基礎年金番号」「氏名」「生年月日」など約125万件であり、そのうち約5万件に関しては「住所」も含まれていたそうです。

原因としては、外部からの電子メールに添付されていたウイルスを開いたことによる不正アクセスとされています。まだ詳細は分かっていませんが、下記のような流れのようです。
(1)同機構の職員のメールアドレスに複数のウイルス付き電子メールが送信された
(2)福岡の事務所で使用されていたパソコンでメールが開かれてウイルスに感染
(3)機構内部の複数のパソコンがウイルスに感染し、不正アクセスの踏み台になった
(4)共有サーバーに保存されていた加入者のデータが外部に送出された。

同機構では、緊急にインターネットとの接続を遮断するなどの対策を取ると同時に、対象となる加入者にお知らせを送付し、基礎年金番号を変更するなどとしています。

http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

(私のコメント)
上記の情報からすると、一番大きな問題は(4)の「共有サーバーに加入者の大量のデータが置いてあった」ということじゃないかと思います。データベースで管理された加入者の情報こそが守るべきものであり、そこから書きだされたデータが何らかの形で共有サーバーに保存されていて一般の職員のアカウントでアクセスできたというのでは、セキュリティの原則の初歩の初歩が実践されていなかったということになります。

30
(画面は書類送検された名簿業者のWebサイトより)

報道によりますと、警視庁は、3月30日付で、昨年発生したベネッセ事件において、流出した個人情報を買い取った名簿業者の代表者と法人を不正競争防止法違反(営業秘密の取得・開示)容疑で書類送検したとのことです。

同社は、すでに起訴済みの被告から10回以上にわたり、のべ1億7800万人分の顧客データを約280万円で買い取り、50社以上に約1,600万円で転売したといいます(ベネッセによると、重複データを削除したデータの総数は約3,500万件だったと説明されています)。

今回の送検は、ベネッセ社からの告訴によるものとのことです。

(私のコメント)
ベネッセ事件を受けて、現在進められている個人情報保護法の改正においては、個人情報の不正な持ち出しやそれを買い取ることに対する規制の強化、記録保存の義務化、処罰の厳格化などが予定されています。不正な方法で名簿を流通させる名簿業者という商売は、今後は収束の方向に向かうのではないかと思います。



27
(画像は同社Webサイトより)

2015年2月、中国系パソコンメーカーのレノボ(Lenovo)社製の家庭用Windowsパソコンにプリインストールされていたソフトウェアに、暗号化通信を無効にする脆弱性が含まれていることが報道され、大きな問題となりました。同社はこのソフトウェアのプリインストールの中止や、出荷済み製品に対する対策を講じることとなりました。

対象となっているのは2014年9月から12月の間に出荷された同社の家庭用パソコンとのことです。これらにプリインストールされて出荷された通称「Superfish(スーパーフィッシュ)」と言われるソフトウェアは、ブラウザを利用してインターネット上のWebサイトを閲覧している際に、独自の広告が挿入されるというものでした。しかしながら、このソフトは広告を挿入するだけに留まらず、SSL暗号化通信のための重要な存在である電子証明書を任意に書き換える機能を持っており、この機能が悪用されたとすると偽物のWebサイトを本物のように偽ることができるなど、深刻な脆弱性を持っているものでした。

今回の問題が発覚する前から、いくつかの都市銀行では、独自の電子証明書を使ったオンラインバンキングが使えないという事象が発生していたようで、昨年からこれに関する案内が出ていたようです。今年2月に入り、それがプリインストールソフトウェアによるものであることが明確となり、ニュースとして報道され、同社は急遽対応を迫られることになりました。

同社の対応は下記のようなもので、かなり徹底したものでした。
(1) 事態の把握と顧客への広報
(2) プリインストールの中止、専用サーバーの停止
(3) アンインストール方法の案内と自動削除ツールの提供開始
(4) 「Windows Defender」やウイルス対策ソフトでの削除機能開始

レノボ社からの案内文>
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0225-2.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0228.shtml
http://support.lenovo.com/jp/ja/product_security/superfish_uninstall

都市銀行からの案内文>
https://bizstation.bk.mufg.jp/info/150209.html
http://www.mizuhobank.co.jp/corporate/ebservice/account/announce20150212.html

(私のコメント)
今回の事件は下記の3点から個人的には興味を引くものでした。

(1) 同社のリリース文は「見解」「お知らせ」「公開書状」「お約束」などとなっており、日本企業でよく見られる「お詫び」という体裁とは異なっています。内容には「お詫び」という言葉も使われていますが、あくまでも「お客様に対して懸念を抱かせたこと」や「セキュリティの潜在的な脆弱性について認識していなかったこと」に対するお詫びであり、当該ソフトウェアをインストールしたことに対する直接のお詫びはありません。ここはアメリカの文化なのか、中国の文化なのか、明らかに日本企業の通常のやり方とは異なっていることに興味を持ちました。

(2) 今回、事後対策として 「Windows Defender」やウイルス対策ソフトによる削除が取り入れられました。これらは本来は誰が作ったのかわからないウイルスや、悪質な会社が作ったスパイウェアなどを削除することを目的として作られたものですが、通常の企業が正規のルートで配布したソフトウェアの削除に使われていることは興味深いです。

(3) 最後に、中国系のIT企業としては、通信機器メーカーのHuawei(ファーウェイ)が米国政府機関からの締め出しを食らっており、LenovoもIBMのパソコン部門を買収した存在であるとは言え、いつそのような取扱いを受けてもおかしくないのかもしれません。同社の徹底した対応の裏にはそういう事情もあるのかなと思いました。




34
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、昨年発生したベネッセからの大規模な個人情報の流出事件を総括した文書を発表しました。

これは「顧客情報の大規模な漏えい事故への対応について」というタイトルの文書であり、冒頭の部分で今回のベネッセ事件以降の対応と、同社に対してプライバシーマーク付与の取り消しを行ったことを説明しています。

そして、JIPDECとしては、今後の同様な事件の再発を防止するために、
(1)より一層厳正な審査の推進
(2)個人情報の漏えい事故などの発生に際し速やかに措置判断を行う枠組みの検討
(3)政府の指針に対応した審査基準の迅速な見直し
を行うとしています。

http://privacymark.jp/news/2015/0121/index.html

また、同様の趣旨と思われる文書がプライバシーマーク取得事業者にも送付されているようです。

(私のコメント)
私も「より一層厳正な審査の推進」については大賛成です。ただし、重箱の隅を突くような方向性ではなく、あくまでも各事業者における実際のリスクを小さくするために最も効果的な対策を取るという方向性で厳しくしていっていただきたいと思います。

過去のベネッセに関連する記事はこちら

33
(画像は同社Webサイトより)

朝日新聞社(東京都中央区)は、1月16日付で、自社内で使用しているパソコンがコンピュータウイルスに感染し、社内外との電子メールのやりとりなどが社外に流出したと発表しました。

同社の調査によりますと、昨年11月下旬ごろからウイルスに感染しだし、最終的に17台のパソコンにまで被害が広がっていたといいます。社外のサーバーからの指示を受けて情報を漏洩するタイプのウイルスで、電子メールのやりとりやそのパソコンで作成した文書の一部も流出していたとのことです。

http://www.asahi.com/articles/ASH1J55L6H1JULZU00M.html

(私のコメント)
詳細は発表されてはいないものの、これは朝日新聞社をターゲットに狙いを定めた標的型攻撃の可能性が大いにあります。当然のことかもしれませんが、マスコミに対する標的型攻撃も現実のものとして考えないといけないのだと思います。

35
(画面は同社プレスリリースより)

昨年、大規模な個人情報流出事件を起こした株式会社ベネッセホールディングス(岡山県岡山市)が、1月15日に情報セキュリティの専門会社である株式会社ラック(東京都千代田区)との合弁会社を設立したと、同日付で発表しました。

これは、昨年9月の再発防止策の発表の際に、データベースの保守・運用については、情報セキュリティの専門会社である株式会社ラックとの合弁企業を設立して担当させ、グループ外への業務委託は行わないようにするとの内容が含まれていたものが、実行されたものです。

新会社は、ベネッセが7割、ラックが3割の出資で設立され、高いセキュリティレベルと運用効率を両立させるとしています。本格的なサービス開始は4月1日の予定です。

http://www.benesse.co.jp/customer/
http://www.benesse.co.jp/customer/bcinfo/pdf/20150115release.pdf

(私のコメント)
ベネッセ事件という大規模な事件を受けて、再発防止するために何をすべきなのか、両社が真摯に考えた結論がこのデータベース管理専門の合弁会社を作るということなのだと思います。取り組みに注視したいです。

36
(画像は同社Webサイトより)

GMOインターネット株式会社(東京都渋谷区)は、12月4日付で、同社のドメイン取得サービス「お名前.com」の利用者にメールで案内を送付した際に、間違って他の利用者の名前や契約ドメイン名を表記して配信したと発表しました。

・対象者は、「お名前.com」の利用者16万4,650人
(法人ユーザーも含まれるようです)
・間違って配信した情報は 「法人名または名字(姓)」「ドメイン名」「会員ID」
とのことです。

http://www.onamae.com/news/domain/141204_1.html

(私のコメント)
まさかエクセルでソートした時に操作ミスしたとかいうことではないと思いますが、かなり大規模な事態になっております。間違えメールを受信した人は削除されることをおススメします。

↑このページのトップヘ