タグ: 情報漏えい

マイナンバー来年の施行前に早くも漏れる

絶対漏れるとは思っていましたが、施行前に漏れるとは先が思いやられます。

では本題です

マイナンバー制度が周知されていない証拠

茨城県取手市は2015年10月13日、個人番号(マイナンバー)を誤って記載した住民票を交付したと公表した(画面)。69世帯100人に影響があり、13日夜9時時点で43世帯60人が既に外部に手渡しているという。原因はベンダーが自動交付機発行システムの設定を誤ったことだが、市も確認しなかったという。

マイナンバーで初のトラブル、取手市が69世帯の住民票に個人番号を誤記載(IT Proより)

今回の漏えいは、住民票交付のシステムにマイナンバーを記載したおそまつなミスでもあり、システムを外部に委託したまま最終チェックをしなかったらしいのでこれまた最悪。

知名度が50%以下で制度をスタートするのもどうかしていますが、せめて自治体レベルでは「重要」であるという事を把握し、周知しておくべきだと思います。

番号だけでは個人を特定できませんが、これでは施行の2016年1月まで「どれだけ通知カードが行き渡るか」ではなく、「どれだけ漏れるか」になってしまいます。

システムが運用されて漏れるのも懸念されますが、今回の様にシステムを外部委託していると、それだけ情報の漏れる確率が高くなり、漏えい場所特定にも時間がかかります。

まとめ

自治体関係者も知らない人がかなり多いのでは
運用前の漏えいで制度の信頼性も懸念されますが、今回の件が良い例で、いくら制度のシステムセキュリティが強固だと言われても、自治体レベルから漏えいしていては意味がありません。

漏えいは必ず起こると思っていましたが運営側の隅々まで周知されていない事が改めて分かりました。

各国にも番号制度はありますが、管理情報を減らしているのが現状で、マイナンバー制度の様になんでも情報を紐付けするのは時代に逆行しているとどこかで聞きました。

来年施行後、情報ろうえいの嵐になる事だけは避けてもらいたいものです。

JP_Office2016Launch_468x60
Pocket

個人情報は漏れるものと認識が必要

ベネッセの個人情報大量流出問題は、近年多発しているネット情報漏えいとは少し違い衝撃を受けました。
改めて、日本の個人情報保護がほとんど機能していないのを痛感したニュースです。

では本題です

上記の、少し違いと言うのは、まだ調査段階で詳細は分かりませんが今回の場合、ネットサービスでの情報流失ではなく「名簿業者」から買い取った情報が漏えいした事で問題が発覚した事です。

名簿業者の存在が合法だった

個人情報保護法ではその23条第2項で、オプトアウト、すなわち本人からの削除の申し出があった場合必ず削除することを条件として、個人情報取扱事業者が本人の同意なく個人情報を第三者に提供すること、つまり
個人情報を販売することを認めている。(名簿業者-ウィキペディアより)

これは知りませんでした。

今回の場合、ジャストシステムが業者から買った情報でダイレクトメールを出した所それがベネッセの顧客情報だった・・・というおちらしいですが、ジャストシステム側は知らなかったとしています。

・ジャストシステム ニュースリリースより

今後の情報解析がカギ

ジャストシステム側は購入した全データを削除する予定らしいですが、情報の流通ルートの解明が困難になるとしてベネッセ側からジャストシステム側へ中止を求める声明を発表したそうです。(当然ですが)

ジャストシステムも同じような事業を行っている為、ライバル関係なのは分かりますが相手企業に迷惑をかけて、購入情報だけ削除はいただけませんね。現在、購入した情報の利用は止めている様ですが。

個人情報は漏れるもの

国によって仕組みに違いはあるでしょが、人はこの世に生まれた時から「戸籍」という形で個人情報が発生します。
「名簿業者」が合法である以上、ネットを使わなくてもどこからか個人情報は漏れると思います。

今回はジャストシステム側から情報流失ルートが発覚したようですが、氏名、住所、電話番号くらいなら誰でもなにげに記入していると思います。

  • ソフト購入時の登録
  • ブロバイダー登録
  • 携帯購入登録
  • 会社などの定期券購入時
  • 量販店で比較的大きな買い物をする時
  • ネット購入(初回情報登録時)
  • その他、挙げたらキリがありません・・・

参考リンク

・ベネッセ、データ削除中止求める(日本経済新聞より)

*****     まとめ     *****
  • 他の業界・業種も例外はない
    今回はベネッセとジャストシステムが大きく取り上げられましたが、「名簿業者」が合法という時点で他の業界も例外はないでしょう。
    この辺の個人情報の法整備をもっとやらないと情報漏えいは永遠に無くならないと思います。

    ネットからの情報漏れも深刻ですが、今回の件が公になった事で、何割かはネット情報も売られていると推測します。

    情報は企業にとって最大の資産ですが、元を断たなければ漏れ続けると認識しておいた方がいいと思います。

    また、すでに漏れてしまった情報を完全に削除するのはほぼ不可能に近いと言えます。
    ジャストシステム側は購入した全データを削除するらしいですが、このタイミングでそれはそれで問題でしょうし、購入した名簿業者から情報が削除された事を証明する事は現時点では不可能に近いと思います。
    (今後の進展により状況が変わるかも知れませんが)

  • 今後の大きな課題
    企業・国を問わず、個人情報を扱っている所は厳重管理の元に不要な情報は即座にシュレッダーなどで破棄を心がけてほしいものです。
    ネット利用の視点から見れば、必要最低限のログ(記録)にとどめて、今後、肥大化していくビッグデータで出るであろう「大量の蓄積データ」が個人情報として拡散しない様にしていく事が求められると思います。
Pocket

クラウド時代の日本語入力ソフト問題

検索サイト大手の百度(バイドゥ)で提供されている日本語入力ソフトが情報漏えいでえらい騒ぎになっています。

近年の日本語入力ソフト(IME)はクラウド化に移行しつつあり、変換候補をサーバーに置く事も珍しくなくなってきています。

以前、当ブログで紹介した「Google日本語入力を使ってみた」でGoogle日本語入力を紹介しましたが、Googleは情報送信は無いとコメントしているらしいです。

また、古くからあるATOKもこの件に関しては否定している模様です。

怖いのはキーロガー

キーロガーとは、入力情報などを監視するログの一種。

今回の問題はこれに似ており、そして悪性ウイルスと言われてもしょうが無い不具合です。

故意で無かったにせよ情報漏れはかなりあると思います。
特に会計業務など、数字業務をバンバン使用している所ではこんな恐ろしいソフトは使えませんし、使っているとしたら情報漏れが心配です。

使用用途の問題

今回の問題は、PCやスマホなど幅広く影響を受けてしまったのでかなり大きなニュースになっています。

遊びで使う分にはクラウド型でも問題ないと思います。

ですが、オフィスや個人でも「個人情報を打ち込む機会が多い場合」はクラウド型辞書の危険性は今回の件から分かりました。
クラウド型を使う場合は、メーカーへの送信機能や意見機能をOFFにするなりクラウド型を使用しないなどの対策が必要かと思います。

しかし今回は、送信機能をOFFにしてもサーバーに情報が送られていたらしいのであてにはできませんが、
「辞書選びも自己責任の時代」
という事で・・・技術が進みすぎるのもこまったものです。

参照リンク

中国百度がIME入力情報送信問題で見解を発表「Simejiはバグでログ誤送信」(ITPROより)

 

Pocket