FOLLOW US

  • twitter
  • facebook

EVENT | 2019/10/02

消費税率のアップとともに「マイナンバー」の活用推進を模索する政府。大規模な個人情報漏洩が頻発する中で、そのセキュリティ対策は万全なのだろうか

内閣府ウェブサイトのマイナンバー紹介ページより 

伊藤僑
Free-lance Writer / Editor&...

SHARE

  • twitter
  • facebook
  • はてな
  • line

内閣府ウェブサイトのマイナンバー紹介ページより 

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

「ほぼ全国民」クラスの個人情報流出が頻発

個人情報の流出が止まらない。

9月16日には、VPNとウェブプライバシーにフォーカスした専門家集団「vpnMentor」が、南米エクアドルで2000万人以上の個人情報が流出した可能性があると発表し注目を集めた。

同社の報告書によれば、漏洩した情報には、氏名、性別、生年月日、出生地、住所、メールアドレス、携帯電話番号、銀行口座などの情報が含まれるという。流出した個人情報の数が、約1650万人と言われる同国の人口を超えているのは、故人の情報も含まれているためのようだ。

個人情報流出の発生源は、同国のコンサルティング会社「ノバエストラット」が米国のフロリダ州マイアミに保有していた無防備なサーバーだったとみられている。vpnMentorからの報告を受けた同国の通信当局は、直ちに流出を止める措置を実施しているが、すでに悪意ある者が情報を入手している可能性もあるという。

無防備なサーバーからの個人情報流出といえば、先週も患者の診療記録2400万件以上がネット上で公開状態になっていた事例を紹介したばかり。私たちの想像以上に個人情報管理者たちのセキュリティ意識は低いようだ。

FBIですらハッキング被害に遭う

国家規模の個人情報漏洩はエクアドルが初めてではない。

6月にもブルガリア共和国で、同国に居住するほぼすべての成人の個人データ約500万人分が流出している。

漏洩したデータには、氏名、住所、収入・所得に関する情報、個人識別番号が含まれていた模様だ。このインシデントの原因は、同国の国家歳入庁(NRA)が利用するアプリケーションの脆弱性を突いたハッキングとみられている(詳しくは8月7日の記事を参照 )。

ハッキングによる個人情報流出で思い出されるのは、米大手SNSのFacebookの事例だ。

昨年9月には、利用者約3000万人のアカウントに不正アクセスが試みられ、2900万人分の個人情報が盗まれたことを公表している。このうち1500万人は、氏名、電話番号、電子メールアドレスが、残り1400万人は、ユーザーネーム、性別、住所、言語、交際状況、宗教などの情報が盗まれたとされる。

ハッキングによる情報漏洩というと、セキュリティ対策が緩かったのではないかと考えがちだが、そうとも言い切れない。

今年4月には、米国のFBI関連のウェブサイトがハッキングされ、警察や連邦機関に属する数千人分の個人情報が盗み出されてネット上に流出するというインシデントが発生している。漏洩したとみられるのは、メンバー名、メールアドレス、役職、電話番号、住所などが記載されたスプレッドシートとみられる。

FBIといえば、テロやスパイなど国家の安全保障に関わる事案を捜査する警察機関。当然ながら、機密情報には最高レベルの安全対策が施されていたと考えられる。それでも個人情報の漏洩被害を防ぐことは難しいのだ。

「マイナンバー」でもすでに情報漏洩被害が

このように世界中で個人情報漏洩事件が頻発している中で気になるのが、我が国における最大規模の個人情報データベースといえる「マイナンバー」の安全対策だ。今回の消費税率のアップに合わせて政府は、マイナンバーの活用推進をさらに図っていくとみられる。

だが、すでに複数のマイナンバー漏洩事件が発生している。その活用が進んで情報の価値が一層高まれば、漏洩の危険性はさらに増すことが予想されるのだ。

昨年12月には、国税局がマイナンバーを含む個人情報の入力作業を委託していたシステムズ・デザイン株式会社が、許可無く再委託したことで約240万件の個人情報が漏洩するという事案が発生している。ただし、同社内において保持すべき機密が再委託先に漏洩しただけで、他への流出や悪用の事実は確認されていないようだ。

政府の個人情報保護委員会が発表した平成30年度の年次報告によれば、2018年度にマイナンバー法に違反、または違反の恐れがある事案が、134機関(地方自治体80、国の行政機関9、民間事業者45)で279件あったとされる。

このうち紛失が100人を超えるような重大な事案は、民間事業者によるマイナンバーの誤送信など3件あったようだ。そのほかの事例は、書類の紛失や、民間事業者が必要のない情報を収集した事案が中心で、悪用の報告はないとされる。

個人情報保護委員会 平成30年度 年次報告より

機密情報を守るための鉄則のひとつに「情報に触れる人を極力減らす」ことがある。国や地方自治体、民間事業者など多くの人が関わらざるを得ないマイナンバーは、その仕組み上、最初から大きな弱点を抱えているといえる。

今後、医療分野をはじめとする多様な分野へとマイナンバーの活用推進を表明している政府が、いかにその安全性を保持していくのか、注視していきたい。