プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2023年06月

unnamed
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

6月5日に、社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止してから既に2週間が経過しました。このサービスは、国内の勤労者800万人以上(とその家族)の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模を誇っていました。

しかし、本サービスを運営しているエムケイシステム(本社:大阪市)は、6月9日を最後に、Webサイト上で事件に関する情報を公開していません。

2023-06-20_14h13_01

顧客である社労士に対してはもう少し詳細な事情説明を行っているようで、Twitterなどではそれらの情報がちらほら見えますが、我々部外者には分からないことです。

驚いたことには、日経新聞の6月13日の記事によると、同社は記者の取材要請に対して「サイバー攻撃に関する問い合わせは受けない」と回答したそうです。

また、東京新聞が6月15日に「マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える」とのタイトルの記事で本事件に触れたことに対して、同社は「東京新聞に掲載された記事について」とのリリースをWebサイトに掲載。その中で「同記事は事実に基づかない全くの憶測にすぎず、(中略)東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するように要請すべく、弁護士に相談している」と反発する姿勢を見せています。

ただし、その同じリリース文において、同社はようやく正式にマイナンバーの取扱いについて弁明を行いました。それによると「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。(中略)現時点では情報流出の事実は確認しておりません」としています。

同社の強硬な態度を見ると、マイナンバーの流出はないのかなあと推測できます。

(今のところはそういう風に理解するしかないのではないかと思います)

日経新聞の記事
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/

東京新聞の記事
https://www.tokyo-np.co.jp/article/256708

エムケイシステムの反論リリース
https://www.mks.jp/company/topics/20230616
(相変わらずWebサイトは重いままです)

(以前の記事)
https://www.pmarknews.info/accident/52173171.html

(私のコメント)
同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとのことです。これを基に、家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれているのではないかと私は推測しています。

しかし、これまでのところ、エムケイシステムの対応は遅く、情報開示も十分にはされていないため、憶測が憶測を呼び、混乱を招いていると言わざるを得ません。
「もしかして1000万人分のマイナンバーが流出しているから何も言えないのかなあ」
「6月22日に株主総会があるからそれまでは公表しないのかなあ」
「国会のマイナンバー審議に影響があるから黙っているのかなあ」
「岸田首相はこの事実を知っているから解散しないと言い出したのかなあ」など、
もちろんこれらはどれも憶測に過ぎませんが、情報を隠すからこそ、このような状況になるのだと思います。

また、全国の社労士事務所、そしてその顧問先に与える影響は私の予想を超えるものだと思います。社会保険関係の手続きが急に紙ベースに戻り、標準報酬月額の見直しと労働保険の申告という年に一度のイベントを乗り切れるのか、不安に感じている関係者も多いことでしょう。

さらに、PPCへの事故報告やプライバシーマーク審査機関への事故報告をどうするのか、事故報告したくても情報がないため詳細不明のまま出すしかないというような状況も生じています。私たちの会社でも、複数のお客様から問い合わせを受けて対応しています。

私自身、過去18年間にわたり、国内の個人情報流出事件を綿密に追ってきましたが、これほど混乱と不透明性が伴う事件は初めてです。情報開示が極めて少なく、対応が不十分であると感じています。

とにかく、同社からの続報を待つことにしたいです。

繰り返しになりますが、私としては、大事件に発展せず、早急に解決されることを願っております。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面停止〜1000万人マイナンバーは無事か?〜
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」などを展開する株式会社エムケイシステム(本社:大阪市)は、同社が利用しているサーバーに不正アクセスがあり、サーバー上のデータが暗号化され、サーバーが動作を停止したと6月6日に発表しました。

今回、被害が発生したのは、
 ・社労夢V3.4
 ・社労夢V5.0
 ・社労夢Company Edition
 ・ネットde顧問
 ・MYNABOX
 ・MYNABOX CL
 ・ネットde事務組合
 ・DirectHR
であり、同社の主要サービスがほぼ全面停止したと言ってよいのではないかと思われます。

その後、同社が公表した内容によると、
6月5日早朝 データセンター上のサーバーがダウン
      外部専門家の協力の上、調査を開始
      インターネット回線を切断
      対策本部を設置
      警察への通報を実施
6月8日   個人情報保護委員会への報告(速報)
と、緊急対応を続けているようです。

同社ではバックアップしていたデータを復旧させることにより、一部のサービスの復旧を進めているとのことですが、6月12日現在、主要サービスの全面復旧には至っていないようです。

https://www.mks.jp/company/

(私のコメント)

同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとしています。家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれている可能性があります。情報漏えいの可能性は現時点では確認されていないとのことですが、万が一の場合、被害は甚大となることが懸念されます。

なお、今回の事態については、現段階では詳細は不明ではありながらも、不正アクセスによる被害とされていますので、個人情報保護委員会(PPC)への「報告対象事態」に当たる可能性が高いと思われます。そのため、多くの社労士事務所ならびに顧問先事業所が、PPCへの事故報告を行ったか、またはその準備をしているものと思われます。

ただし、一件の事件に関して、全国2754か所の社労士事務所と、57万社の顧問先事業所から個別に報告が行われたとしても、PPCがすべてに対応することは困難であり、かえって混乱を招く恐れもあると思います。今回は大元のエムケイシステム社がすでに報告していることもあり、各事業者からのPPCへの報告は現段階では見送ってもいいのではないかと思います(これはあくまでも私の個人的意見です)。ただし、それとは別に本人通知は行う必要があると思います。

とにかく、もう少し詳細が明らかになれば、PPCへの報告ならびに本人通知の必要性や内容の検討などを行えるようになると思います。同社からの続報を待ちたいと思います。

私としては、大事件に発展せず、早急に解決されることを願っております。

(6月17日追記)
同社は東京新聞への抗議のリリースの中で、マイナンバーの流出の可能性はないと公表しました。もっと早く教えて欲しいですね。

https://www.mks.jp/company/topics/20230616

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

個人情報保護委員会がChatGPTに関する注意喚起を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年末、人工知能チャットボット「ChatGPT」が、彗星のように現れ、
またたく間に1億人のユーザーを獲得しました。

その登場は大いなる衝撃をもたらし、
私たちの生活を一変させる可能性を秘めています。

しかし、ChatGPTは地球最大規模のデータベースであり、
あたかも巨大な一つの人格のように機能します。

ChatGPTに情報を学習させた場合に、それがどのように利用され、
保存され、公表されるかなど、多くの不明な点が存在します。

悪意を持った人が不正確な情報をChatGPTに学習させたり、
私的な情報を公開させると、あたかも大規模なゴシップのデータベースに
変わる危険性もあります。

このような背景を考慮し、日本の個人情報保護委員会(PPC)は、
ChatGPTを利用する日本の個人情報取扱事業者、行政機関、利用者、
そして、ChatGPTの開発元である米国のOpenAI社に対して、
個人情報保護法の趣旨に基づいた注意喚起を公表しました。

注意喚起の主要なポイントを以下に要約します。

(1)個人情報取扱事業者と行政機関への注意喚起

生成 AI サービスへの個人情報の入力は必要最小限に抑え、
その利用が特定目的の範囲内であることを確認すること。

本人の同意無しに個人情報を入力し、それが他の目的で利用される場合、
個人情報保護法違反に問われる可能性があること。

そのような場合には、その個人情報を生成 AI サービス事業者が
機械学習に使用しないことを十分に確認すること。

(2)一般の利用者への注意喚起

生成 AI サービスは、入力された個人情報が保存されて機械学習に
利用されることがあり、それが正確または不正確な形で出力される
リスクがあることを認識して利用すること。

一見正しいように見えて、不正確な個人情報を出力するリスク
があることを認識して利用すること

サービス提供者の利用規約やプライバシーポリシーを確認し、
情報入力とサービス利用の判断を行うべきであること。

(3)OpenAI社への注意喚起

本人の同意を得ずに、利用者または利用者以外の配慮個人情報を取得しないこと。
-機械学習に使用する場合には、要配慮個人情報を収集しないように、
または収集した場合でも学習用データセットにそれに含まれないように取り組むこと。
-機械学習に使用しない場合でも、要配慮個人情報は正当な理由なく取り扱わないこと。

個人情報の利用目的について、日本語で通知または公表すること

https://www.ppc.go.jp/news/press/2023/230602kouhou/

(私のコメント)

ChatGPTは世界各国のプライバシー当局が注目しており、
日本のPPCも迅速に対応しています。

皆さんもこれを参考に、ChatGPTをより安全に、
そして有意義に利用していただければと思います。

(なお、この記事も私が書き下ろした後、ChatGPTに推敲させました)

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

マイナンバーカードへの信頼が揺るぐ事態に対して個人情報保護委員会が対応方針を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

健康保険証を廃止し、マイナンバーカードに機能を集約するマイナンバー法改正が成立したタイミングの中で、マイナンバーカードの利用に関する複数問題が浮上しています。これらの問題に対し、個人情報保護委員会(PPC)が対応方針を公表しました。ここでは、その概要をご紹介します。

これは、5月31日に開催された第244回個人情報保護委員会で議題に上げられたもので、対応方針案がPPCのWebサイトで公表されています。公表されている資料には(案)とついており、最終版ではありませんし、議事の内容もまだ掲載されていないため、確定した内容は分かりませんが、おおむねこの方針で進むことになるのであろうと思われます。

資料では、現在問題となっている事態を下記の3点に集約し、それぞれに対する着眼点と対応方針を記載しています。

(1)コンビニでの住民票等の誤交付
 各自治体>委託先の監督に問題がなかったか
 開発元の富士通Japan>安全管理措置の問題がなかったか

(2)マイナンバーカードの健康保険証利用における紐付け誤り
 健保組合>規律を順守していたか
 厚生労働省>確認手順について適切に通知していたか
 実施機関>登録チェックの仕組みに改善点はないか

(3)公金受取口座の誤登録等
 デジタル庁/国税庁>共有端末でのマイナンバーの利用に関する対策は十分だったのか
 自治体>窓口での対応は適切であったのか
 国税庁>事務の実施手順は適切であったのか
 
PPCとしては、今回の事態に対して、あくまでも規制当局として、マイナンバーの運用に関わる主体(自治体、健保組合、デジタル庁、国税庁など)に対して、監督権を行使する方向で対応するようです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230531/

(私のコメント)
この対応方針は、PPCが規制当局であることを再認識させるものです。マイナンバーやマイナンバーカードの普及を目指す各主体に対し、法的な枠組みの整備と監視を行い、問題が発生した場合には、それを指摘して改善を促す。これにより、個人情報の保護と社会全体の効率化・最適化が実現される。そういうPPCの方向性がはっきりと示された対応方針だなと感じました。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ