プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:マイナンバー

本ページは下記に移転しました。

https://www.optima-solutions.co.jp/support_article/samurai-20230927/

社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム(本社:大阪市)は、7月19日付で、これまでの調査で明確になった事実を取りまとめて正式に発表しました。

結果的には「一切の情報漏えいは確認できなかった」ということになりました。特にマイナンバーは別管理をしていたから漏えいの可能性は一切ないという発表です。

以下、同社の公表内容を要約します。

6月5日 同社の複数のサーバー上のデータが暗号され、システムが停止
   (ユーザー数3400)
    ランサムウェアによる被害と判明、ネットワークを遮断して対処
    外部の情報セキュリティ専門会社に対応要請
6月6日 大阪府警に連絡
    Webサイトに情報を掲載
6月8日 個人情報保護委員会へ速報
6月9日 Webサイトに情報を掲載
6月21日 Webサイトに情報を掲載
6月30日 一部サービスを再開
7月19日 個人情報保護委員会へ確報
    Webサイトに情報を掲載

外部の第三者による侵入経路、不正アクセスの影響を受けたサーバー機器、侵害状況と漏えいの恐れのある情報範囲については、いずれも調査の結果判明しているとのことですが、「今後のことを考慮して」非公表としています。

また、情報が外部に漏えいした可能性は完全には否定できないものの、これまでの調査の結果では漏えいの痕跡は確認できておらず、またダークウェブなどにも掲載されていないとのことです。

エムケイシステム社
「当社サーバへの不正アクセスに関する調査結果のご報告(第3報) 」
https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

(以前の記事)
6月13日付 社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害〜1000万人マイナンバーは無事か?〜
6月20日付 社労士向けクラウド「社労夢」不正アクセス事件の続報〜1000万人マイナンバーは無事と弁明〜
7月6日付 社労士向けクラウド「社労夢」がサービス再開〜情報流出はなかったらしい〜

(私のコメント)
「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持ってこの事件に注目してきましたが、一応の収束を得ました。情報漏えいはなかった、特にマイナンバーに関しては漏えいは確実になかったとのことで、ホッとしました。(侵入してデータ暗号化までしておいて、持ち出さなかったとは、攻撃者が初心者でミスしたのかもしれません)

そして、同社は事件発覚から1か月半で、個人情報保護委員会への確報までたどり着いていて、振り返ってみると意外と短い期間で収束させたということになります。しかし、その過程において、今回の事件ほど混乱と不透明性が伴ったことはないという感想を持ちました。これは何だったのでしょうか?

それは同社の広報体制が「最低限のことしか公表しない」「報道機関の取材にも協力しない」というスタンスであったことにあると思います。

「これは事件であり、捜査にも影響するから今は言えません」「マイナンバーは別システムで管理しており、今のところ攻撃された痕跡は確認されていません」というようなことだけでも対外的にきちんと説明していれば、もう少し不安は解消されたと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

社労士向けクラウド「社労夢」がサービス再開〜情報流出はなかったらしい〜
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム(本社:大阪市)は、サービス停止から約1か月の7月3日付で、一部サービスを再開すると発表しました。

このサービスは、国内の勤労者800万人以上(とその家族)の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模であり、その動向が心配されていました。

同社では、最低限の情報しか公表していないため、依然として全容がつかめていませんが、同社としては
・従来の環境ではなく、AWS(Amazonクラウド)上でシステムを構築した。
・サービス再開にあたり、セキュリティ面の強化を実施した。
・個人情報流出の痕跡は発見されていない。
・マイナンバーは、他の社労夢製品とは切り離した別環境で完全に暗号化されている。
と説明しており、情報流出はなかった模様です。

エムケイシステム社リリース
https://www.mks.jp/company/topics/20220703a

(以前の記事)
https://www.pmarknews.info/accident/52173171.html
https://www.pmarknews.info/accident/52173440.html

(私のコメント)
当初「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持って注目手してきたこの事件ですが、今のところ収束に向かって動いているようです。ただし、同社の情報公開が不十分であることは変わりなく、同社にはどこかのタイミングでしっかりと外部に説明していただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

unnamed
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

6月5日に、社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止してから既に2週間が経過しました。このサービスは、国内の勤労者800万人以上(とその家族)の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模を誇っていました。

しかし、本サービスを運営しているエムケイシステム(本社:大阪市)は、6月9日を最後に、Webサイト上で事件に関する情報を公開していません。

2023-06-20_14h13_01

顧客である社労士に対してはもう少し詳細な事情説明を行っているようで、Twitterなどではそれらの情報がちらほら見えますが、我々部外者には分からないことです。

驚いたことには、日経新聞の6月13日の記事によると、同社は記者の取材要請に対して「サイバー攻撃に関する問い合わせは受けない」と回答したそうです。

また、東京新聞が6月15日に「マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える」とのタイトルの記事で本事件に触れたことに対して、同社は「東京新聞に掲載された記事について」とのリリースをWebサイトに掲載。その中で「同記事は事実に基づかない全くの憶測にすぎず、(中略)東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するように要請すべく、弁護士に相談している」と反発する姿勢を見せています。

ただし、その同じリリース文において、同社はようやく正式にマイナンバーの取扱いについて弁明を行いました。それによると「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。(中略)現時点では情報流出の事実は確認しておりません」としています。

同社の強硬な態度を見ると、マイナンバーの流出はないのかなあと推測できます。

(今のところはそういう風に理解するしかないのではないかと思います)

日経新聞の記事
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/

東京新聞の記事
https://www.tokyo-np.co.jp/article/256708

エムケイシステムの反論リリース
https://www.mks.jp/company/topics/20230616
(相変わらずWebサイトは重いままです)

(以前の記事)
https://www.pmarknews.info/accident/52173171.html

(私のコメント)
同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとのことです。これを基に、家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれているのではないかと私は推測しています。

しかし、これまでのところ、エムケイシステムの対応は遅く、情報開示も十分にはされていないため、憶測が憶測を呼び、混乱を招いていると言わざるを得ません。
「もしかして1000万人分のマイナンバーが流出しているから何も言えないのかなあ」
「6月22日に株主総会があるからそれまでは公表しないのかなあ」
「国会のマイナンバー審議に影響があるから黙っているのかなあ」
「岸田首相はこの事実を知っているから解散しないと言い出したのかなあ」など、
もちろんこれらはどれも憶測に過ぎませんが、情報を隠すからこそ、このような状況になるのだと思います。

また、全国の社労士事務所、そしてその顧問先に与える影響は私の予想を超えるものだと思います。社会保険関係の手続きが急に紙ベースに戻り、標準報酬月額の見直しと労働保険の申告という年に一度のイベントを乗り切れるのか、不安に感じている関係者も多いことでしょう。

さらに、PPCへの事故報告やプライバシーマーク審査機関への事故報告をどうするのか、事故報告したくても情報がないため詳細不明のまま出すしかないというような状況も生じています。私たちの会社でも、複数のお客様から問い合わせを受けて対応しています。

私自身、過去18年間にわたり、国内の個人情報流出事件を綿密に追ってきましたが、これほど混乱と不透明性が伴う事件は初めてです。情報開示が極めて少なく、対応が不十分であると感じています。

とにかく、同社からの続報を待つことにしたいです。

繰り返しになりますが、私としては、大事件に発展せず、早急に解決されることを願っております。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面停止〜1000万人マイナンバーは無事か?〜
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」などを展開する株式会社エムケイシステム(本社:大阪市)は、同社が利用しているサーバーに不正アクセスがあり、サーバー上のデータが暗号化され、サーバーが動作を停止したと6月6日に発表しました。

今回、被害が発生したのは、
 ・社労夢V3.4
 ・社労夢V5.0
 ・社労夢Company Edition
 ・ネットde顧問
 ・MYNABOX
 ・MYNABOX CL
 ・ネットde事務組合
 ・DirectHR
であり、同社の主要サービスがほぼ全面停止したと言ってよいのではないかと思われます。

その後、同社が公表した内容によると、
6月5日早朝 データセンター上のサーバーがダウン
      外部専門家の協力の上、調査を開始
      インターネット回線を切断
      対策本部を設置
      警察への通報を実施
6月8日   個人情報保護委員会への報告(速報)
と、緊急対応を続けているようです。

同社ではバックアップしていたデータを復旧させることにより、一部のサービスの復旧を進めているとのことですが、6月12日現在、主要サービスの全面復旧には至っていないようです。

https://www.mks.jp/company/

(私のコメント)

同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとしています。家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれている可能性があります。情報漏えいの可能性は現時点では確認されていないとのことですが、万が一の場合、被害は甚大となることが懸念されます。

なお、今回の事態については、現段階では詳細は不明ではありながらも、不正アクセスによる被害とされていますので、個人情報保護委員会(PPC)への「報告対象事態」に当たる可能性が高いと思われます。そのため、多くの社労士事務所ならびに顧問先事業所が、PPCへの事故報告を行ったか、またはその準備をしているものと思われます。

ただし、一件の事件に関して、全国2754か所の社労士事務所と、57万社の顧問先事業所から個別に報告が行われたとしても、PPCがすべてに対応することは困難であり、かえって混乱を招く恐れもあると思います。今回は大元のエムケイシステム社がすでに報告していることもあり、各事業者からのPPCへの報告は現段階では見送ってもいいのではないかと思います(これはあくまでも私の個人的意見です)。ただし、それとは別に本人通知は行う必要があると思います。

とにかく、もう少し詳細が明らかになれば、PPCへの報告ならびに本人通知の必要性や内容の検討などを行えるようになると思います。同社からの続報を待ちたいと思います。

私としては、大事件に発展せず、早急に解決されることを願っております。

(6月17日追記)
同社は東京新聞への抗議のリリースの中で、マイナンバーの流出の可能性はないと公表しました。もっと早く教えて欲しいですね。

https://www.mks.jp/company/topics/20230616

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

マイナンバーカードへの信頼が揺るぐ事態に対して個人情報保護委員会が対応方針を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

健康保険証を廃止し、マイナンバーカードに機能を集約するマイナンバー法改正が成立したタイミングの中で、マイナンバーカードの利用に関する複数問題が浮上しています。これらの問題に対し、個人情報保護委員会(PPC)が対応方針を公表しました。ここでは、その概要をご紹介します。

これは、5月31日に開催された第244回個人情報保護委員会で議題に上げられたもので、対応方針案がPPCのWebサイトで公表されています。公表されている資料には(案)とついており、最終版ではありませんし、議事の内容もまだ掲載されていないため、確定した内容は分かりませんが、おおむねこの方針で進むことになるのであろうと思われます。

資料では、現在問題となっている事態を下記の3点に集約し、それぞれに対する着眼点と対応方針を記載しています。

(1)コンビニでの住民票等の誤交付
 各自治体>委託先の監督に問題がなかったか
 開発元の富士通Japan>安全管理措置の問題がなかったか

(2)マイナンバーカードの健康保険証利用における紐付け誤り
 健保組合>規律を順守していたか
 厚生労働省>確認手順について適切に通知していたか
 実施機関>登録チェックの仕組みに改善点はないか

(3)公金受取口座の誤登録等
 デジタル庁/国税庁>共有端末でのマイナンバーの利用に関する対策は十分だったのか
 自治体>窓口での対応は適切であったのか
 国税庁>事務の実施手順は適切であったのか
 
PPCとしては、今回の事態に対して、あくまでも規制当局として、マイナンバーの運用に関わる主体(自治体、健保組合、デジタル庁、国税庁など)に対して、監督権を行使する方向で対応するようです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230531/

(私のコメント)
この対応方針は、PPCが規制当局であることを再認識させるものです。マイナンバーやマイナンバーカードの普及を目指す各主体に対し、法的な枠組みの整備と監視を行い、問題が発生した場合には、それを指摘して改善を促す。これにより、個人情報の保護と社会全体の効率化・最適化が実現される。そういうPPCの方向性がはっきりと示された対応方針だなと感じました。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2023-05-10_15h49_33

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、3月以降、トラブルが何度も発生している
「マイナンバーカードを利用したコンビニでの証明書発行サービス」
について、河野デジタル大臣は、
システムを一時停止して徹底的な再発防止を図るように
指示したとのことです。

このサービスは、コンビニでマイナンバーカードを利用して、
住民票の写し、印鑑証明書や戸籍謄本を交付するサービスですが、
今年3月以降、別人の証明書が発行される不具合が13件発生しているといいます。

システムを開発・運営している富士通Japanでは、
システムの負荷が一定以上になった場合に、
このような事態が発生する可能性があるとのことで、
既にシステムの改修は終えたということですが、
それにも関わらず、また再発したことをきっかけに、
デジタル庁として徹底的な再発防止を求めたもののようです。

NHKによる報道
https://www3.nhk.or.jp/news/html/20230509/k10014061271000.html
河野デジタル庁記者会見(2023年5月9日)
https://www.digital.go.jp/speech/minister-230509-01/

(私のコメント)
住民票は、マイナンバー(個人番号)を印字することもできるものです。
また印鑑証明書や戸籍謄本などは大変重要な文書であり、
別人に発行するようなことはあってはならないものです。

本件に関しては、広い意味ではマイナンバーに関する事項でもあり、
個人情報保護委員会(PPC)も関心を持っていると思われますが、
今のところ公式の見解や発表は出ていないようです。

また動きがあれば追いかけていきたいと思います。

(追記)
5月10日に開催された個人情報保護委員会で、本件が議題に上げられました。
番号法ならびに個人情報保護法に基づいて、各自治体に対する資料提供の求め、
富士通Japanに対する報告の徴収を行うとのことです。

https://www.ppc.go.jp/aboutus/minutes/2023/20230510/

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

個人番号カード裏面2


※2016年に公開した記事を再掲します。内容は今も有効なものです。

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、2016年6月に「インターネット等にマイナンバーカード裏面のQRコードを掲載することに対する注意喚起」と題した文書を公表し、マイナンバーカード(個人番号カード)裏面のQRコードの取扱いに関して注意を喚起しました。

同文書によりますと、マイナンバーカードの裏面のQRコードは一人ひとりの12ケタの個人番号を変換したものがプリントされており、このQRコードを不用意にインターネット上で公開などした場合に、第三者がそれを読み取ることで個人番号が知られてしまうということです。

マイナンバーカードの交付時に一緒に提供される目隠し用のビニールケースでは、QRコードの部分が隠れないので、問題になっているようです。

http://www.ppc.go.jp/files/pdf/280620_qrcode.pdf

(私のコメント)
手元のマイナンバーカードをQRコードリーダーに読み込ませてみて、ちょっと笑ってしまいました。皆様も不用意に公開したりすることのないよう、十分ご注意ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

マイナンバーカードの読み取りはICカードリーダーではなくスマホをおススメします。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

政府が普及に躍起になっている「マイナンバーカード」。

デジタル化の恩恵を受けたい国民としては、
うまく使いこなしたいところです。

私は個人的にも日本で一番最初にマイナンバーカードの発行を受けたくらいの
積極派なのですが、チャレンジャーとしての失敗もあれこれ経験しています。

特に数年前、マイナンバーカードをスマホで読み取って活用するという
民間のサービスに挑戦してみたところ、
数回の読み取りミス(?)しただけでロックがかかってしまい
お住まいの市区町村の窓口でロック解除を行ってください
というような警告が出て、使えなくなってしまったことがありました。

その時は、泣く泣く区役所まで出向いて、ロックを解除していただきました。

そんなこともあり、マイナンバーカードのスマホ読み取りについて、
否定的にとらえていたのですが、最近の政府の取り組みを見て、
もう一度やってみたら、意外と簡単にできましたので、
皆さんにも共有したいと思います。

基本的な方法は、
(1)とにかくスマホに「マイナポータル」アプリをインストールする。
「マイナポータル」アプリと「マイナポイント」アプリ
 せっかくなので、「マイナポイント」アプリも入れておきましょう。
(2)ログインの認証は、スマホ+マイナンバーカードで行う。
 (ICカードリーダーは不要)
(3)画面の操作は、スマホでもパソコンでもOK
というものです。

パソコンで操作したい場合には、少しコツがあります。

(パソコン)マイナポータルの画面上の「ログイン」ボタンをクリック
2022-12-21_11h09_20

(パソコン)「QRコードでログイン」をクリック
2022-12-21_11h12_10

(パソコン)QRコードが表示される
2022-12-21_11h12_45

(スマホ)「マイナポータル」アプリを起動してQRコードを読み取らせる
2022-12-21_11h16_07
普通のカメラで読み込ませるとアプリのインストール画面が表示されます

(スマホ)4文字の暗証番号を入力して
20221221_021411000_iOS
3回間違えるとロックされますのでご注意ください。

(スマホ)マイナンバーカードを読み取らせる
20221221_021416000_iOS

PXL_20221221_020403736.MP
機種によりセンサーの場所が違うそうなので、ご注意ください。

(パソコン)これでパソコン側がログイン状態になります。パチパチ!
2022-12-21_11h15_03

このやり方さえマスターしてしまえば、マイナポータルにログインして、
・自分の個人情報のチェック
・公的機関の個人番号の利用履歴のチェック

 などが行えるのはもちろん、
・健康保険証としての利用
・公金受け取り銀行口座の登録

 を行うことで、マイナポイントをもらうことができますし、
・eTAXの利用
・ねんきんネットの利用
・新型コロナワクチン接種証明書アプリの利用
・各種の自治体への届け出
・法人設立ワンストップサービス

 なども利用できるようになり、まさにデジタル化の恩恵を受けられるようになります。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ