エスクリブ COLUMN

  • Home
  • マイナンバー制度を控えた今、自治体に潜む脅威を見逃すな

マイナンバー制度を控えた今、自治体に潜む脅威を見逃すな

  • 投稿日:
  • by scriv

pc.jpg今年、10月5日以降、全国民にマイナンバー通知カードが送付され、これと一緒に同封される申請書を郵送することで、来年1月以降、マイナンバーカードを受け取ることができます。

マイナンバー制度は、行政事務の効率化に寄与し、国民や企業にとっても様々な利便性をもたらすもので、超高齢化社会を迎え、年金受給者や医療費の増加、また、公平な税負担ということを考えれば必要な制度であり、先進国ではほとんどが既に導入済みです。
具体的な制度の仕組みやどのように変わっていくかなどについては、様々なニューズや記事等で紹介されていますので、ここでは省略させて頂きます。

一方、今年6月に日本年金機構で125万人にも及ぶ個人情報流失事件が起きました。国民の中には「マイナンバーは大丈夫なのか」と危惧される方もいたようですが、簡単に言うとかなりセキュリティ強化を意識して作られた仕組みなので、芋づる式に何万人もの特定個人情報(マイナンバーを含む個人情報)が一気に漏えいすることは基本的にはありません。

しかし、現状では決して万全とは言えない状況です。

日本年金機構では、国民の年金情報を管理する社会保険オンラインシステム(基幹系システム)と一般業務やメール、インターネット閲覧など外部との通信が可能な情報系システムとは分離され、接続できないようなネットワーク構成になっていました。それにもかかわらず、漏えい事件が起きたのは、基礎年金番号を含む個人情報を情報系システムで取扱ってはいけないルールになっておりながら、現場では不便さを解消するため個人情報をDVD-Rなどの外部記憶媒体に保存し、情報系システムのファイルサーバーに複製しており、しかも、暗号化されていないものも多数あるといった運用が常態化していたことによるものです。

つまり、どんなに技術的・物理的対策を施してもルール違反を起こしてしまっては、元も子もないということが言えます。

総務省は、この事件を背景に6月末を期限にしたセキュリティに関する実態調査を全国の自治体に対して実施しました。すると、住民情報・税情報・福祉情報を取扱う基幹系システムと情報系システムを分離している自治体は僅かに7%という結果が出てしまいました。
また、情報セキュリティに関するルールである情報セキュリティポリシーは10年以上も見直しをしていないところが4割以上あり、自己点検または内部あるいは外部のセキュリティ監査を実施している自治体は半数にも達しておりません。
この実態を知った住民は、自分の済む自治体は大丈夫なのかという不安に駆られるのではないでしょうか。

また、特定個人情報を取扱う企業を除く機関は、特定個人情報保護評価書を作成することが義務づけられており、現在、各自治体のホームページでそれが公開されています(一部のみの団体もあります)。
都道府県や人口の多い市、23区は全項目評価あるいは重点項目評価を行っており、相当な負担が強いられたかと思いますが、そこには特定個人情報保護の体制及び姿勢が現れているかと思います。
一方、小規模自治体の場合は簡単な基礎項目評価しか行っておらず、そこからは、セキュリティ強化の姿勢を見ることがなかなかできないというのが私の感想です。もちろん、十分な情報セキュリティマネジメントシステムを構築している小規模自治体もあるのは事実です。
住民の方々は是非、居住地の自治体の特定個人情報保護評価書をチェックしてみて下さい。また、近隣の自治体と比較して下さい。もしかすると、記載内容がほぼ同じなんていうこともあるかもしれませんが。
不安があれば、問合せをするものいいかと思います。

これまでで言える自治体(特に小規模自治体)に潜む脅威は以下となります。

  • 多くの自治体のネットワークはセキュリティ上、脆弱である。
  • 情報セキュリティポリシー(セキュリティルール)は、組織や情報システム、ネットワーク等が大きく変わっているのにもかかわらず、10年以上更新されていないものが多い。
  • ルール違反のチェック体制が不十分である。
  • 小規模自治体では特定個人情報を扱う上での保護体制が住民にちゃんと伝わっていない。

不安を煽るようで恐縮なのですが、他にも脅威となる点があります。

日本年金機構のケースもそうですが、この猛威を振るっている標的型攻撃のターゲットになりやすいのは公共団体で、事実、最近セキュリティ専門会社に寄せられる事故対応要請の多くが公共団体です。
自治体の場合、縦割り組織であるため、何らかのインシデント(標的型メールを受信したなど)が起きても、それをしかるべき部門と共有し、被害を抑制するといった体制ができていないのが大半ではないでしょうか。
また、情報セキュリティに関する緊急時対応計画についてもしっかり策定しているところは、私の見る限り多いとは言えません。特に標的攻撃についてはその攻撃手法などの特徴についての理解が不十分で、どのように対応すべきかが分かっていないのが実態です。

  • インシデントの共有、迅速な対応をしにくい組織的な問題がある。
  • 緊急時対応計画が未整備であるため、事故が起きた場合、被害や2次被害の拡大が避けられない。

現に、人口16万人弱の長野県上田市が標的攻撃に遭いました。
上田市の緊急ニュース:http://www.city.ueda.nagano.jp/shise/joho/kinkyu/cyberattack/
上田市は、基幹系と情報系のネットワークを分離していたためか幸いにも個人情報は流失しなかったようです。

小規模自治体も標的攻撃のターゲットになる可能性は十分にありますが、その備えは十分ではありません。
情報セキュリティに関する予算措置の優先度が低いことも脅威の1つとして挙げた方がいいでしょう。
彼らに意識改革を促すのは住民の声が一番ではないかと思っている次第です。

著 佐藤 雅英