自治体のマイナンバー情報管理に重大なリスク 2週遅れで会計検査院の報告書を読む

f:id:itkisyakai:20200130185308j:plain

1月16日、会計検査院が市区町村のマイナンバー情報管理に不備があると指摘した、というニュースが一斉に報じられた。総務省にしてみれば、年明け早々、冷水を浴びせられたかっこうだ。

報道メディアの見出しを拾うと以下のようだ。

 ■マイナンバー端末で不適切運用 一部自治体、二重認証せず―会計検査院:時事

 ■自治体4割が情報持ち出し可能 会計検査院指摘:毎日新聞 

 ■マイナンバー端末管理に不備の自治体 検査院指摘:日本経済新聞

 ■個人情報管理に一部不備 自治体のマイナンバー端末:産経新聞

 ■「一部自治体、不十分」 マイナンバーの情報漏洩対策:朝日新聞

——など。

マイナンバーカードの交付枚数を増やすことに汲々とするより、情報管理体制をきっちりしろよ、という声が聞こえてくる。市区町村の職員は「人が介在する以上、集積した情報は多かれ少なかれ、漏れるものなんですよ」と言いたくなるだろうけれど、それが許されないのが辛いところだ。

医療履歴や薬歴、所得・税額、障害の有無など、税と年金、災害にかかわる公的個人情報、あるいはマイナポータルにログインするためのID/パスワードなどが流出するのはマズイし、マイナンバーがキーとなってCookieから嗜好や思考、行動や思想信条が国家権力に把握されるのはモッテノホカ。

しかし"ぶっちゃけ"で言えば、マイナンバーの特定個人情報(個人番号、氏名・性別・住所・生年月日)が漏れたところで何だというのか。マイナンバーなんて所詮その程度のもの、と言ってしまえばいいのに(と思わないでもない)。

新聞記事だけでは詳細が分からない

「4割」という数字を出している毎日の記事を引用する。

検査院は15、16年度に強化対策費の補助を受けた46都道府県と1727市区町村のうち、18都道府県と223市区町村について抽出調査した。その結果、少なくとも対象市区町村の39%にあたる87市区町村で、持ち出し禁止を解除する際にセキュリティー管理者の許可を得る取り決めだったにもかかわらず、許可なしでも情報を持ち出せるようになっていた。日常的に情報の持ち出しが必要であることを理由に持ち出し不可の設定を5年以上解除したままの端末がある自治体もあった。

「4割」は抽出調査した223市区町村に占める割合、しかも「セキュリティ管理者の許可なしで情報持ち出せるようになっていた」市区町村の割合であることが分かる。全国1718市区町村に対して223団体の構成比は13%。市区町村の実情をどこまで反映しているか、やや不安が残る数字といっていい。

新聞の記事だけでは詳細が分からない。調べると、記事の元になったのは、1月15日付で会計検査院が公表した報告書「会計検査院法第30条の3の規定に基づく報告書 国による地方公共団体の情報セキュリティ対策の強化について」である。

f:id:itkisyakai:20200131182131j:plain

ネットで検索するとhttps://www.jbaudit.go.jp/pr/kensa/result/2/pdf/20115_zenbun_01.pdfk

からA4で65ページの報告書がダウンロードできる。

もっと早く目を通せばよかったのだが、他事にかまけている間に2週間が経っていた。続報・詳報がなされていないようなので、ここで改めてまとめておくことにはそれなりに意味があるだろう。

情報管理の認識次第では日常茶飯事か

前もって報告書の要点を記しておくと、

 ・1割強の自治体でマイナンバー専用端末と一般業務用端末を混用。

 ・4.6%の団体で二要素認証が行われていない。

 ・約半数が端末のローカルディスクに特定個人情報を保存。

 ・14.3%が「許可なく持出し可能」

 ・21.7%が「情報持出しのログを記録・保存せず」

10年以上も前、市町村のIT利活用を取材していたとき、役所窓口越しに当該団体の議員が職員に「あの名簿、くれないか」と言い、その職員が何の躊躇もなくプリントアウトして手渡しているのを目撃したことがある。そのリストがどのようなものか分からないが、対応してくれた職員は「困ったことです」と苦笑していたのを思い出す。

マイナンバーの特定個人情報は、個人番号と氏名・住所・性別・生年月日の基本4情報で、厳格・厳密な管理が求められる。報告書の内容は、住民情報や個人情報の管理に疎かったり不慣れ(ないし無頓着)な地域(団体の内部、職員と住民の間)では今でも日常茶飯事なのではないかと類推させる。

■ 補助金の総額は2334億円

国の予算執行をチェックする会計検査院地方公共団体を調査したのは、総務省から46都道府県、1727市区町村に補助金自治体情報システムの強靱性の向上」2334億5889万円が投入されているからだ。調査対象241団体に限ると交付金は61億3920万円、支援プラットフォーム構築費は4752万円となる。 

調査項目は次の3項目(細目を含め5項目)だった。

 ①二要素認証、情報持ち出し不可設定

  ・マイナンバー利用事務系端末における二要素認証の導入状況

  ・マイナンバー利用事務系端末からの情報持ち出し不可設定状況

  ・マイナンバー利用事務系システムの分離状況

 ②ネット接続(LGWAN系とインターネット系)の分離

 ③自治体情報セキュリティクラウド

「二重認証」は、報告書では「二要素認証」という用語を使っている。IDとパスワードだけでなく、専任職員しか保有しない専用ICカードやUSBトークン、職員の指紋や静脈など生体情報で、ログインを認証する仕組みを指す。

また報告書の文言から、調査は「2019年5月現在」で実施されたと推測できる。調査から8か月経っているので、状況は変わっている可能性がある。

本稿では煩雑さを回避するため、「マイナンバー利用事務系端末における二要素認証の導入状況」と「マイナンバー利用事務系端末からの情報持ち出し不可設定状況」に絞ることにした。

問題なのは認証エラー時の代替手段

マイナンバー利用事務系(既存の住民基本台帳/戸籍/税/社会保障を含む)システムにおいては、原則として、他の領域と通信できないよう分離を徹底した上で、端末への二要素認証の導入で特定個人情報(住民情報)の流出を防ぐこととされている。マイナンバー利用事務系システムの端末設置状況は、マイナンバー専用端末のみ、他の業務にも利用できる仮想端末のみ、専用端末と仮想端末の混在の3パターンが確認された。

■ 「仮想端末のみ」「専用/仮想端末混在」は計11.1%

241団体のうち「マイナンバー専用端末のみ」を配置しているのは214団体(88.7%)だった。内訳は都道府県が16(88.6%)、市区町村が198(88.7%)となっている。

「仮想端末のみ」は5団体(2.0%)、「混在」が22団体(9.1%)だった。仮想端末は、一定の制限のもとでLAN経由でマイナンバー処理サーバーとその他業務処理サーバーにアクセスできるので、「一定の制限」が情報セキュリティ(書換え・改ざん・漏洩・流出)対策の強靭度を左右する。 

■ 二要素認証を導入していないのは12団体

総務省は「二要素認証の導入」を市区町村が実施する強じん性向上事業の必須要件としている。そこで「マイナンバー専用端末を設置している」(仮想端末との混在を含む)219市区町村について二要素認証の導入状況を調べると、「導入している」は217団体だった。2団体は導入済みだが、当該補助金での導入でなかったので対象から外れた。

対象となった217団体のうち、「すべての端末に導入」は205団体(94.5%)だった。導入していない12団体(5.5%)のうち、2団体は「導入の予定あり」なので、残りの10団体(4.6%)は総務省の要件を満たしていないことになる。

この10団体では一要素(ID/パスワード、ICカード、USBトークンなどのいずれか)認証でシステムにログインできるため、正規の権限を持つ職員になりすましてログインし、特定個人情報を閲覧・持ち出すことが容易な状況だった。

■ 不正実行者の特定が困難に

会計検査院の調査が鋭いのは、「二要素認証で認証エラーとなった場合の代替手段」に目を向けたことだ。行政機関であると民間企業であるとにかかわらず、必ず原則と例外が存在する。情報セキュリティ対策において、例外は「アリの一穴」ないしバックドアとなって、「想定外」のトラブルを誘発する。

その対応策を見ると、次のようだった。

 ・代替パスワードを用意しシステム管理者への手続きなし:27団体(12.4%)

 ・認証手段を複数の職員が共有:7団体(3.2%)

代替パスワードや共有している認証手段のみでログインできる場合、業務システムを通じて特定個人情報にアクセ スした実際の利用者を識別できない。不正アクセスや情報漏えいの実行者特定が困難になるおそれがある。

特定個人情報の保管場所も課題

マイナンバーの特定個人情報をどのように管理しているか調べると、「専用端末のローカルドライブ」が59団体(48.4%)、「ファイルサーバー等の共有フォルダー」が113団体(92.6%)だった。報告書の合計は122となっているので、50団体(41.0%)が「ローカルドライブとサーバーの共有フォルダーの両方」ということになる。

■ 窓口職員が交代したときを考えて……

専用端末のローカルドライブに特定個人情報を保存している59団体のログイン認証方法は、「共有している認証手段」が9団体(15.3%)、「段階的な認証方法」が7団体(11.9%)だった。残りの43団体は二要素認証方式と理解していい。

サーバーの共有フォルダーの場合は、「共有する認証手段」が14団体(12.4%)、「段階的な認証」が16団体(14.2%)だった。

「共有する認証手段」のみでログインできるようにしている理由は、「窓口対応業務で職員が交代した際の端末へのログインをスムーズに行えるようにするため」という回答が多かった。また「段階的な認証」は、専用端末に一要素認証でログインし、次いでマイナンバーに係る業務システムに業務システム認証でログインする方式を指す。この方式を採用している場合、特定個人情報にアクセスする正規の権限を持つ職員になりすますことが可能となる。

また、サーバーの共有フォルダーについては、「アクセス制御の設定変更で正規の権限を持たない職員でもアクセスできる」が7団体(6.2%)もあった。

報告書は「特定個人情報を含むデータにパスワードを設定するなどはしておらず、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた」と記している。

理由は、「同じ課室等に所属する職員であれば問題ない」が3団体、「個人単位での権限設定の作業が煩雑であるため」が3団体、「例外が常態化」が1団体となっている。

「持ち出し不可」解除が87団体

代替パスワードを用意するのも複数職員で認証手段を共有するのも、バックドアを自ら用意しているのと同じだし、マイナンバー情報をローカルドライブに保存しているとなると、たとえそれがマイナンバー利用端末だとしても、二要素認証をすり抜けることが可能となる。

一方、特定情報の持出し禁止の措置を調べると、「全面的に禁止している」は218団体のうち15団体(6.9%)に過ぎなかった。

「例外的な情報持出しを認めている」は203団体だった。その内訳は次のようになる。

 ・管理者権限を持つ職員等にのみ持ち出しを許可:40団体(19.7%)

 ・管理者権限を持つ職員等に申請ののち許可を得て解除:160団体(78.8%)

   うち「一定の機関を設けて解除」が33団体

   うち「期限を設けることなく解除」が62団体

となっている。

「持出し不可設定の解除期間1か月以上」と「期限を設けることなく解除」を合わせると87団体(37.7%)だった。

■ 14.3%が「許可なく持出し可能」

87団体について、情報セキュリティ管理者の許可の要・不要を調べると、すべての団体で許可が要らないシステム運用がなされていた。このうち29団体(203団体の14.3%)では、特定個人情報を職員が持出す際、情報セキュリティ管理者の許可を必要とする運用規定もない状態だった。

実際の現場では「そんなこと、いちいちやってられないよ」が本音ではあろうけれど、そのような建前になっている以上、面倒臭いことも受け入れなければならないというわけだ。

報告書には下記の事例があげられている。

情報の持出しを制御するソフトウェアにより、原則として情報持出しができないように設定している。そして例外的な情報持出しの運用として、原課の職員から情報持出しの申請があった場合は、管理者権限を持つ情報システム担当課の職員が情報持出し不可設定を解除し、原課の職 員がUSBメモリ等により情報の持出しを行っている。

しかし、当該団体は、日常的に情報の持出しが必要な業務があることを理由として、全ての情報持出しについて、申請があれば期限を設けることなく持出 し不可設定を解除する運用を行っていた。また、情報を持ち出す際に情報セキュリティ管理者による許可がなくても持ち出すシステム操作ができるようになっていた。

このため、一度申請するだけで、時間的な制約がなく情報持出しができることになり、全ての情報持出しについてその都度持出し不可設定を解除している場合等と比べると、内部不正等による特定個人情報の持出しのリスクが高い状況となっていると認められた。

 ただし2019年2月、当該団体は「その都度」解除に変更しているという。

■ 持出しログは2割強が保存せず

セキュリティポリシー・ガイドラインでは、情報の持出しについては所属課室名、氏名、日時、持出物などの記録を保管しなければならないとしている。またITシステムでは各種ログの記録を取得し、一定の期間保存しなければならないとしている。

情報持出しのログ管理状況は下記のようだった。

 ・持出しログを保存している:159団体(78.3%)

   うち「台帳に記録していない」は58団体

 ・持出しログを保存していない:44団体(21.7%)

   うち「台帳に記録していない」は19団体

「仮想端末+共有の認証手段+ローカルディスク/共有フィルダー+持出し不可解除+ログ記録・保存せず」のすべてがそろっている「情報だだ漏れ」の市区町村が存在するとは思えないが、マイナンバーと特定個人情報のほうが、一般的な個人情報より秘匿性が高いとする限り、会計検査院の指摘は重い。

アクセスカウンター