個人情報流出問題と共通番号制度再考
1.日本年金機構情報流出問題
日本年金機構の職員端末に何者かがサイバー攻撃をしかけ、およそ125万人分の個人情報が外部に流出した事件について、6月6日付け産経新聞電子版のまとめ記事により、時系列的に並べてみると凡そ以下のようになるようです。
5月8日 九州ブロック本部、職員が調達業務で使用するため公開しているアドレスに届いたメールを開封後、1台目の感染を確認。機構はこのパソコンのケーブルを抜いて通信を遮断。
5月9日 新種のウイルスと判明したが、15日にウイルス対策会社から「外部に情報を漏洩(ろうえい)するタイプではない」と報告あり。
5月18日~20日 一般に公開されていない複数の職員個人のアドレスに不審メール。
5月19日 機構が警視庁に捜査を依頼。
5月23日 東京本部の人事管理部で19台のパソコンから外部への大量の情報発信を確認。
5月28日 警視庁から「機構から流出したと考えられるデータを発見した」と連絡。
5月29日 機構 全パソコンのインターネット接続を切断。
6月1日 機構 情報流出を公表。
2.どこからの攻撃か
個人情報の管理に関して、日本年金機構は脇が甘すぎたとの批判を受けるのは当然のことでしょう。しかし、見逃してはならないのが、どのような目的にせよ、違法にサイバー攻撃をしかけてきた輩です。会社内部の身内といえる下請け会社の派遣社員が個人情報を持ち出したベネッセ事件などとは、この点が明確に異なります。新聞報道によれば、警視庁公安部は、メール送信元の特定を進めているようですが、使用した書体から外国の影がちらついているように読めます。また、時を同じくして、米国でも政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があるとの発表がありました。発表のタイミングがよすぎるとの印象も受けないことはないのですが、要するに、このような違法サイバー攻撃は、今日日常的に行われていることを物語っています。
=== 産経新聞電子版 6月3日 ===
また、メールのウイルスには中国語の書体(フォント)が含まれていたことも情報セキュリティー会社への取材で判明。 同社によると、ウイルスの一部に文書ソフトのファイルが含まれており、そのフォントが中国語だった。
=== 産経新聞電子版 6月5日 ===
米連邦政府の人事管理局は4日、政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があると発表した。攻撃元は調査中だが、米メディアは政府高官や議員の話として、中国が関与しているとの見方を伝えた。米中は今月22日から3日間、ワシントンで安全保障や経済問題を協議する「米中戦略・経済対話」を開く。オバマ米政権は中国による南シナ海での岩礁埋め立てに加え、一連のサイバー攻撃も対話に影響を与える可能性が出てきた。
米政府の発表を受け、中国外務省の洪磊報道官は5日、「サイバー攻撃は匿名性を持ち、国をまたぎ、元をたどるのが難しいという特徴がある。『かもしれない』というのは無責任で、非科学的だ」とした上で、「米国は疑い深く、雲をつかむような不確かな話をしないよう望む」と疑惑を否定した。
人事管理局は昨年、サイバーセキュリティーの体制を強化。その結果、今年4月にサイバー攻撃を受けたとの情報があることが確認された。政府職員の職務や業務評価などに関する情報に外部からアクセスされたとみられ、国土安全保障省や米連邦捜査局(FBI)が事態の全容解明に乗り出している。
米メディアは内務省など他の官庁も攻撃を受けたとして、情報機関の職員の個人情報が流出した可能性も指摘。米ウォールストリート・ジャーナル(電子版)は「政府が受けた被害としては最大規模の事例のひとつだ」としている。
司法省は5月、米半導体メーカーから機密性が高い技術を盗んだとして中国籍の6人を起訴。昨年5月には連邦大陪審が米企業にスパイ行為をしたとして、中国人民解放軍のサイバー攻撃部隊「61398部隊」の将校5人を起訴している。
(下線は浅草社労士)
=== 引用 終わり ===
今日、日本人であっても、外国製のフリーソフトを便利に使用することはありえますし、安易にこれらの記事だけから即断するのは軽率のそしりを免れませんが、外国からのサイバー攻撃というものが現に存在し、国家存立の根底を揺るがしかねない脅威になってきていることを忘れてはなりません。
3.共通番号制度導入の再考を
今回の個人情報流出事件は、本年10月を目途に順次その適用が開始される予定の共通番号制度にも影響を及ぼすものと見られています。何せ、既に共通番号制度(社会保障番号)で先行している米国では、共通番号で社会保障及び課税関係はいうに及ばず、銀行口座や医療なども一括管理されている状況下、漏洩した番号を使って本人に成りすますことも可能になってきます。だからこそ、IT先進国でもある米国では、サイバー攻撃対策が十分に採られているはずなのですが、それでも悪意のあるハッカー部隊の攻撃に対して、十分に個人情報を守りきれていないのが現状のようです。このようにサイバー空間上に管理される個人情報が、外部からの攻撃に対して脆弱であることがわかってきているにもかかわらず、我が国がどちらの方向を向いているのかを示しているのが、以下の記事です。
=== 5月30日 産経新聞電子版 ===
政府は29日、産業競争力会議の会合を開き、国民に番号を割り当てるマイナンバー制度で、加入する医療保険や受診歴などが分かる仕組みを導入する方針を示した。平成30年度から段階的に運用を始め、32年の本格運用を目指す。患者情報を一元化して重複診療や処方薬の大量・重複投与を防ぐ狙い。サービスを効率化し、医療費抑制につなげる。法改正を含む具体的な制度設計は、27年中に詰める。
戸籍や旅券にも32年までにマイナンバーの利用を拡大、6月に策定する新たな成長戦略に反映させる。マイナンバーとは別の医療番号をつくった上で、マイナンバーと関連付ける。別の番号にすることで、個人情報と直接結び付くのを防ぎ、情報を外部に漏れにくくする。
安倍晋三首相は会合で、「地域の大病院、診療所、介護施設をネットワーク化することで、患者は重複検査や重複投薬から解放される」と述べた。
=== 6月9日 産経新聞電子版 ===
参院内閣委員会は9日の理事懇談会で、マイナンバー法と個人情報保護法の改正案の審議を当面見送ることで合意した。年金情報の流出問題を踏まえ、政府の原因究明や国民の不安解消を優先させる。参院での採決のめどは立っておらず、今月中の法案成立は困難な情勢となった。
マイナンバー法改正案は、国民全員に個人番号を割り当てるマイナンバー制度を、2018年から金融機関の預金口座にも適用する内容。個人情報を企業が活用しやすくする個人情報保護法改正案とともに5月21日に衆院を通過し、今月上旬にも参院本会議で成立する見通しだった。
=== 6月11日 産経新聞電子版 ===
個人情報の活用と保護の両立を目指す個人情報保護法改正案が衆院本会議で可決され、審議の場が参院に移っている。新たなビジネスを創出するために個人情報の流通性を高める一方、不正な利益を得るための情報漏洩に対して新たに罰則を設けるなど規制も強化する。改正後は小規模事業者も適用対象となることなどから、同法施行時に起きた過剰反応や萎縮効果の再来も懸念されている。
現行の個人情報保護法は平成15年に成立。個人情報の取得目的の明示や安全管理、本人の同意のない第三者提供の原則禁止などを定めた。制定から12年が経過し、IT技術の進展に伴うビッグデータを活用した新産業の創出や情報漏洩事件への対応が求められるようになった。
そのため、改正案では事業者が本人の同意なく利用目的を変更できる範囲について、「相当の関連性のある範囲」から「相当の」を削除し、個人情報の使い道を変えられる範囲を拡大。政府は「電力会社が消費者の利用状況を基に省エネを奨励したり、安否確認サービスを行ったりするのは許容範囲内だ」と説明する。
また、氏名を削除するなどして個人を特定できなくした「匿名加工情報」は、一定の条件を満たせば第三者に提供できることも明記された。5月26日の参院内閣委ではIC乗車券「Suica(スイカ)」に記録された個人情報の活用例が紹介された。政府側答弁によると、利用者の氏名や住所の一部などを削除した上で乗降記録を提供することにより、若者の利用が多い改札口側のコンビニエンスストアには若者向けの商品が配置されるようになる。
ベネッセコーポレーションの顧客情報流出事件を受け、不正な利益を得ようとする情報漏洩者に対しては「1年以下の懲役または50万円以下の罰金」とする罰則も新たに定める。これまで適用外だった5千人以下の個人情報を取り扱う事業者も適用対象とした。
(下線は浅草社労士)
=== 引用 終わり ===
要は、効率最重視の経済的観点から、共通番号で個人情報を一括管理していくことは今日必須であり、時代の流れということのようです。しかし、この議論には決定的な瑕疵があり、それは国防・安全保障の観点がすっぽりと欠落してしまっていることです。共通番号制度は、確かに効率的で、今では多くの先進国で多かれ少なかれ採用されている制度です。ですが、サイバー攻撃に対するその脆弱性がこれほど白日の下にさらされるようになってきた今頃になって、これまで共通番号制度なしで何とかやってきた我が国が、周回遅れで慌てて見切り発車的に採用すべき制度であるのかどうか、今回の日本年金機構の事件は、もう一度立ち止まって考え直す好いきっかけではないかと思えるのです。
日本年金機構の職員端末に何者かがサイバー攻撃をしかけ、およそ125万人分の個人情報が外部に流出した事件について、6月6日付け産経新聞電子版のまとめ記事により、時系列的に並べてみると凡そ以下のようになるようです。
5月8日 九州ブロック本部、職員が調達業務で使用するため公開しているアドレスに届いたメールを開封後、1台目の感染を確認。機構はこのパソコンのケーブルを抜いて通信を遮断。
5月9日 新種のウイルスと判明したが、15日にウイルス対策会社から「外部に情報を漏洩(ろうえい)するタイプではない」と報告あり。
5月18日~20日 一般に公開されていない複数の職員個人のアドレスに不審メール。
5月19日 機構が警視庁に捜査を依頼。
5月23日 東京本部の人事管理部で19台のパソコンから外部への大量の情報発信を確認。
5月28日 警視庁から「機構から流出したと考えられるデータを発見した」と連絡。
5月29日 機構 全パソコンのインターネット接続を切断。
6月1日 機構 情報流出を公表。
2.どこからの攻撃か
個人情報の管理に関して、日本年金機構は脇が甘すぎたとの批判を受けるのは当然のことでしょう。しかし、見逃してはならないのが、どのような目的にせよ、違法にサイバー攻撃をしかけてきた輩です。会社内部の身内といえる下請け会社の派遣社員が個人情報を持ち出したベネッセ事件などとは、この点が明確に異なります。新聞報道によれば、警視庁公安部は、メール送信元の特定を進めているようですが、使用した書体から外国の影がちらついているように読めます。また、時を同じくして、米国でも政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があるとの発表がありました。発表のタイミングがよすぎるとの印象も受けないことはないのですが、要するに、このような違法サイバー攻撃は、今日日常的に行われていることを物語っています。
=== 産経新聞電子版 6月3日 ===
また、メールのウイルスには中国語の書体(フォント)が含まれていたことも情報セキュリティー会社への取材で判明。 同社によると、ウイルスの一部に文書ソフトのファイルが含まれており、そのフォントが中国語だった。
=== 産経新聞電子版 6月5日 ===
米連邦政府の人事管理局は4日、政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があると発表した。攻撃元は調査中だが、米メディアは政府高官や議員の話として、中国が関与しているとの見方を伝えた。米中は今月22日から3日間、ワシントンで安全保障や経済問題を協議する「米中戦略・経済対話」を開く。オバマ米政権は中国による南シナ海での岩礁埋め立てに加え、一連のサイバー攻撃も対話に影響を与える可能性が出てきた。
米政府の発表を受け、中国外務省の洪磊報道官は5日、「サイバー攻撃は匿名性を持ち、国をまたぎ、元をたどるのが難しいという特徴がある。『かもしれない』というのは無責任で、非科学的だ」とした上で、「米国は疑い深く、雲をつかむような不確かな話をしないよう望む」と疑惑を否定した。
人事管理局は昨年、サイバーセキュリティーの体制を強化。その結果、今年4月にサイバー攻撃を受けたとの情報があることが確認された。政府職員の職務や業務評価などに関する情報に外部からアクセスされたとみられ、国土安全保障省や米連邦捜査局(FBI)が事態の全容解明に乗り出している。
米メディアは内務省など他の官庁も攻撃を受けたとして、情報機関の職員の個人情報が流出した可能性も指摘。米ウォールストリート・ジャーナル(電子版)は「政府が受けた被害としては最大規模の事例のひとつだ」としている。
司法省は5月、米半導体メーカーから機密性が高い技術を盗んだとして中国籍の6人を起訴。昨年5月には連邦大陪審が米企業にスパイ行為をしたとして、中国人民解放軍のサイバー攻撃部隊「61398部隊」の将校5人を起訴している。
(下線は浅草社労士)
=== 引用 終わり ===
今日、日本人であっても、外国製のフリーソフトを便利に使用することはありえますし、安易にこれらの記事だけから即断するのは軽率のそしりを免れませんが、外国からのサイバー攻撃というものが現に存在し、国家存立の根底を揺るがしかねない脅威になってきていることを忘れてはなりません。
3.共通番号制度導入の再考を
今回の個人情報流出事件は、本年10月を目途に順次その適用が開始される予定の共通番号制度にも影響を及ぼすものと見られています。何せ、既に共通番号制度(社会保障番号)で先行している米国では、共通番号で社会保障及び課税関係はいうに及ばず、銀行口座や医療なども一括管理されている状況下、漏洩した番号を使って本人に成りすますことも可能になってきます。だからこそ、IT先進国でもある米国では、サイバー攻撃対策が十分に採られているはずなのですが、それでも悪意のあるハッカー部隊の攻撃に対して、十分に個人情報を守りきれていないのが現状のようです。このようにサイバー空間上に管理される個人情報が、外部からの攻撃に対して脆弱であることがわかってきているにもかかわらず、我が国がどちらの方向を向いているのかを示しているのが、以下の記事です。
=== 5月30日 産経新聞電子版 ===
政府は29日、産業競争力会議の会合を開き、国民に番号を割り当てるマイナンバー制度で、加入する医療保険や受診歴などが分かる仕組みを導入する方針を示した。平成30年度から段階的に運用を始め、32年の本格運用を目指す。患者情報を一元化して重複診療や処方薬の大量・重複投与を防ぐ狙い。サービスを効率化し、医療費抑制につなげる。法改正を含む具体的な制度設計は、27年中に詰める。
戸籍や旅券にも32年までにマイナンバーの利用を拡大、6月に策定する新たな成長戦略に反映させる。マイナンバーとは別の医療番号をつくった上で、マイナンバーと関連付ける。別の番号にすることで、個人情報と直接結び付くのを防ぎ、情報を外部に漏れにくくする。
安倍晋三首相は会合で、「地域の大病院、診療所、介護施設をネットワーク化することで、患者は重複検査や重複投薬から解放される」と述べた。
=== 6月9日 産経新聞電子版 ===
参院内閣委員会は9日の理事懇談会で、マイナンバー法と個人情報保護法の改正案の審議を当面見送ることで合意した。年金情報の流出問題を踏まえ、政府の原因究明や国民の不安解消を優先させる。参院での採決のめどは立っておらず、今月中の法案成立は困難な情勢となった。
マイナンバー法改正案は、国民全員に個人番号を割り当てるマイナンバー制度を、2018年から金融機関の預金口座にも適用する内容。個人情報を企業が活用しやすくする個人情報保護法改正案とともに5月21日に衆院を通過し、今月上旬にも参院本会議で成立する見通しだった。
=== 6月11日 産経新聞電子版 ===
個人情報の活用と保護の両立を目指す個人情報保護法改正案が衆院本会議で可決され、審議の場が参院に移っている。新たなビジネスを創出するために個人情報の流通性を高める一方、不正な利益を得るための情報漏洩に対して新たに罰則を設けるなど規制も強化する。改正後は小規模事業者も適用対象となることなどから、同法施行時に起きた過剰反応や萎縮効果の再来も懸念されている。
現行の個人情報保護法は平成15年に成立。個人情報の取得目的の明示や安全管理、本人の同意のない第三者提供の原則禁止などを定めた。制定から12年が経過し、IT技術の進展に伴うビッグデータを活用した新産業の創出や情報漏洩事件への対応が求められるようになった。
そのため、改正案では事業者が本人の同意なく利用目的を変更できる範囲について、「相当の関連性のある範囲」から「相当の」を削除し、個人情報の使い道を変えられる範囲を拡大。政府は「電力会社が消費者の利用状況を基に省エネを奨励したり、安否確認サービスを行ったりするのは許容範囲内だ」と説明する。
また、氏名を削除するなどして個人を特定できなくした「匿名加工情報」は、一定の条件を満たせば第三者に提供できることも明記された。5月26日の参院内閣委ではIC乗車券「Suica(スイカ)」に記録された個人情報の活用例が紹介された。政府側答弁によると、利用者の氏名や住所の一部などを削除した上で乗降記録を提供することにより、若者の利用が多い改札口側のコンビニエンスストアには若者向けの商品が配置されるようになる。
ベネッセコーポレーションの顧客情報流出事件を受け、不正な利益を得ようとする情報漏洩者に対しては「1年以下の懲役または50万円以下の罰金」とする罰則も新たに定める。これまで適用外だった5千人以下の個人情報を取り扱う事業者も適用対象とした。
(下線は浅草社労士)
=== 引用 終わり ===
要は、効率最重視の経済的観点から、共通番号で個人情報を一括管理していくことは今日必須であり、時代の流れということのようです。しかし、この議論には決定的な瑕疵があり、それは国防・安全保障の観点がすっぽりと欠落してしまっていることです。共通番号制度は、確かに効率的で、今では多くの先進国で多かれ少なかれ採用されている制度です。ですが、サイバー攻撃に対するその脆弱性がこれほど白日の下にさらされるようになってきた今頃になって、これまで共通番号制度なしで何とかやってきた我が国が、周回遅れで慌てて見切り発車的に採用すべき制度であるのかどうか、今回の日本年金機構の事件は、もう一度立ち止まって考え直す好いきっかけではないかと思えるのです。
2015年06月13日 18:00 | その他