国内の社会保険労務士の多くが利用している業務支援システム「社労夢(シャローム)」に対し、ランサムウエア(身代金要求型ウイルス)攻撃があった。なにより気になるのは、このシステムが800万人超分のマイナンバーを含む個人情報を扱っていたこと。もし外部に流出していれば、影響は計り知れない。政府・与党によってマイナンバーの利用範囲拡大や健康保険証廃止を含む改正マイナンバー法が成立したばかりだが、こんなことで大丈夫か。(岸本拓也、木原育子)
◆完全復旧には1カ月?
「5日にサービスがダウンして今もお客さんのデータが全く見られない。繁忙期なのに勘弁してほしい」
北陸地方の社会保険労務士事務所に勤める50代の女性は14日、「こちら特報部」の取材に憤まんやる方ない様子で話した。
発端は「社労夢」を提供するエムケイシステム(大阪市)が、ランサムウエアによるサイバー攻撃を受けたことだ。同社の発表文によると、5日早朝にデータセンターのサーバーがダウンし、調査したところ、サイバー攻撃を受けたことが分かった。
発生から約10日たった現在もシステムは復旧しておらず、主力の社労夢をはじめ、関連する複数のサービスがほとんど使えない状況が続いている。女性は「完全復旧には1カ月近くかかると聞いた。給与計算や社会保険の更新手続きなど、すべて手作業でやっている」と話す。
同社のウェブサイトによると、社労夢は、社労士向け業務支援システムで国内シェアトップ。4月1日現在で、約57万事業所を管理し、約826万人分の個人情報を扱っていた。同社は、外部に情報流出した可能性がないか調査しているが、9日時点では「漏えいした事実は確認していない」としている。
◆氏名、生年月日、給与、ナンバーも管理
気になるのが、社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点だ。
先の女性によると、社会保険や雇用保険、健康保険証の取得や喪失、離職票の発行など、社労士事務所が取り扱う多くの委託業務にマイナンバーが必要という。「書類をつくるたびに、社労夢のシステムに事前に預けた顧客企業の従業員のマイナンバーをシステムから引っ張っている。もしマイナンバーも含めて外部にごっそり流出していたら相当に怖い」と話す。
NTTデータ先端技術のウェブサイトは、「マイナンバー単体ではほとんど使い道はない」としつつ、マイナンバーを含んだ形で個人情報が漏えいした場合には、(1)マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われる(2)他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われる—といったリスクがあると指摘する。
今回のケースで「ごっそり」というなら、マイナンバーとその他の個人情報がセットになり、(1)(2)のリスクが高まる恐れもある。
◆システム提供企業は「回答控える」
エムケイシステムはこうした事態をどう受け止めているのか。こちら特報部は、流出の恐れのある個人情報の中にマイナンバーが含まれていたかどうかなどを質問したが、「本件に関するメディアへの回答は差し控える」と答えた。
同社も混乱しているようだ。サイバー攻撃などで情報漏えいした恐れがある場合、社労士事務所だけでなく、社労士に給与管理などの業務を委託していた企業も、個人情報保護委員会へ報告する義務がある。
しかし、東北地方の社労士男性によると、同社から11日に「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように働きかけをしている」と連絡があったが、翌12日には一転、「報告は必須」とし、「誤った情報発信したことを深くおわびする」と謝罪があったという。男性は「不誠実な対応をして、顧客が離れるならまだしも、損害賠償を請求されるのが怖い」と漏らした。
◆「ひも付け」増やすリスク
今回の件について、社労士を所管する厚生労働省の担当者は「状況把握を進めている」と話す一方、漏えいの恐れのある情報にマイナンバーが含まれていたかどうかは「エムケイシステムがどういう形で情報を保管していたか把握できていない」と述べるにとどめた。保護委は「個別事案には答えられない」と話した。
なんとも不安が残るが、エムケイシステムによる被害公表の3日後にあたる9日、岸田文雄内閣が閣議決定した「デジタル社会の実現に向けた重点計画」を読むと、こんな状況で進めていいのかと思われる内容ばかりだ。
計画の柱に据えるのは、行政手続きでのマイナンバー利用範囲拡大、預貯金口座とのひも付けなどマイナンバー制度そのものの拡大と、マイナンバーカードと各種証明書との「一体化」だ。批判の多い「マイナ保険証」はもちろん、母子健康手帳なども一体化を目指し、さらにマイナカードを「市民カード化」するとして市民生活のあらゆる場面に入り込ませ、買い物などでの民間活用も推進する、というものだ。
◆トラブル、ミスのオンパレード
マイナンバー制度に詳しい水永誠二弁護士は「多目的に利用するようにし、多くのものにひも付けばひも付くほど、漏えいの際の被害は当然大きくなる」と指摘する。これまでは社会保障と税、災害対策の3分野に限られていたマイナンバーの利用範囲を、今後は国家資格や自動車登録、在留外国人の関連事務などへ拡大していく。「これらもマイナンバーを含む個人情報として保管されることが多いと考えられるので、今回と同様なリスクがあるのでは」と警告する。
外部からのサイバー攻撃ではなくても、そもそも、マイナンバーをめぐるシステムは不安だらけだ。
加藤勝信厚生労働相は13日の閣議後会見で、新たにマイナ保険証で誤登録が60件見つかったと公表。受診履歴や薬剤情報など他人に閲覧されていたのは、新たに4件あったと明かした。厚労省はこれまで2021年10月〜22年11月までに7312件の誤登録を公表しており、第三者による閲覧はこれで計10件に上る。
◆「運用を止めて、立て直しを」
岸田文雄首相も同日の記者会見で、マイナンバーに関連するデータやシステムを秋までに総点検するとした。ただ、河野太郎デジタル相は「(トラブルは)マイナンバー、マイナンバーカードのシステムの仕組みに起因するものではない」として、悪いのは登録を誤るなどデータを入力した人間、ヒューマンエラーだという立場を崩していない。
ITと人権に詳しいジャーナリストの星暁雄氏は「マイナンバーで業務の何がよくなるのか、各省庁でも国民の間でもビジョンが共有できていない中でまい進してきた。誤登録などの遠因となったのでは」と疑問を呈する。相次ぐトラブルについて「ヒューマンエラーがあってもそれをカバーできる態勢にそもそもなっていない」とする。
そもそも、ヒューマンエラーがあってもトラブル化しないようにするシステム設計が基本なはずで、「本来は立ち止まって業務設計を見直すのが筋。トラブルが相次いでいるのは無理をさせているサインだ。いったん運用を停止して立て直すという時期にきている」と語る。
◆デスクメモ
今回、報告義務の相手先として名前の挙がった個人情報保護委員会。「独立性の高い内閣府の外局」というが、ふだん存在感がない。これだけ個人情報関連の問題が噴出した一連のマイナンバー法改正議論でも、表に出てきた記憶がない。個人情報への政府の姿勢を示唆しているのか。 (歩)
感想;
個人情報を抜き取られている。被害はこれから具体化していく可能性が大です。
それにしても、MKシステムがひどすぎるのか、日本のレベルが低すぎるのか。
MKシステムは個人情報は暗号化されていて心配ないと言うが、簡単に入られた企業の言うことなど誰が信じることが出来るでしょうか? またレベルが違うのです。
MKシステムは契約している会社の個人情報は外部に流失している可能性があると会社を通して個人に伝えているとも言われています。
これは将来のマイナンバーカードの情報流出を予告させています。
ランサムウエア―は、岸田首相のマイナンバーカード推進を頼もしく期待しているかもしれません。それも数兆円使って、ランサムウエア―に情報を抜き取られるためにせっせとやっているようです。これが起きないことを願いますが、起きそうです。