マイナンバーを含む個人情報を扱う自治体の端末に運用の不備が見つかった。会計検査院の抽出調査で「二要素認証」を一部導入していない「穴」があった。2015年の年金情報流出事件を踏まえて巨費を投じた対策が形骸化していた。自治体名は公表していないが、総務省に実態の把握と自治体への助言を求めた。総務省は従来の自治体向けセキュリティー対策について見直しも進めている。
会計検査院は2020年1月、マイナンバーを含む個人情報を扱う全国の自治体のセキュリティー対策について抽出調査したところ、217市区町村のうち12の自治体において、本来マイナンバーを利用する全ての端末に必要になる「二要素認証」を導入していない端末があったと公表した。
検査院によると、12自治体は二要素認証をマイナンバー利用端末の一部に導入していなかったり、利用端末の全てに導入する予定がなかったりした。
二要素認証は利用者だけが知っているID・パスワードに加えて、ICカードやUSBトークンなど「所持」による認証や、指紋や静脈といった「生体」による認証を組み合わせる手法だ。二要素認証によって、ID・パスワードを使った他人によるなりすましを防ぐ狙いがある。総務省は二要素認証を導入していない市区町村があることを十分に把握していなかったという。
さらに自治体のなかには、マイナンバーを含む個人情報の持ち出しに関するログを記録していなかったり、ネットワーク分離が徹底できていなかったりする例もあった。本来であれば自治体は、誰が不正アクセスなどをしたか特定できるようログを記録したり、庁内ネットワークを「マイナンバー利用事務系」や「インターネット接続系」などに分離したりする必要があった。
国や自治体は2017年11月から行政機関の間で税や社会保障などの行政手続きをする際に、マイナンバーを使って個人情報の照会や情報提供をする情報連携を行っている。マイナンバーは国内に住む全ての人に付与された唯一無二の12桁の番号だ。氏名や住所、性別、生年月日と関連付けられている。マイナンバーを含む個人情報が漏洩すると、個人への重大なプライバシー侵害につながる恐れが高い。
検査院は総務省に対して、自治体がマイナンバー利用端末に二要素認証を導入しているかやネットワークを分離できているかといった状況を把握して「地方公共団体に対して助言を行う必要がある」と改善を求めた。
総務省は検査院との情報交換を踏まえて2019年11月に全自治体を対象にした事務連絡で「一部自治体への指摘と同様の問題がないか確認を求めた」(総務省地域情報政策室)という。
年金機構の教訓で導入した対策
二要素認証などのセキュリティー対策は、2015年5月に日本年金機構が外部から標的型攻撃を受けて大量の個人情報の漏洩を起こしたことを踏まえて導入された。しかし一部の自治体では年金機構の教訓が生かされず、形骸化が進んでいたことになる。
日本年金機構の事件では、LAN(ローカルエリアネットワーク)の共有フォルダーに保存された約125万件の基礎年金番号や氏名などの個人情報が外部に不正流出したとされる。
同機構の調査委員会の報告書などによると、流出の直接的な要因は標的型攻撃を受けた場合にLANケーブルを抜く以外に具体的な規定がなく、事態の確認が遅れて有効な対策が講じられなかったことにあった。流出した個人情報にはアクセス制限やパスワードの設定がないものが多数あったという。
そこで総務省は2015年度と2016年度に「自治体のセキュリティー強じん性向上事業」と呼ばれる対策を進めた。マイナンバーを利用する自治体のセキュリティー対策を急いで進めるものだった。全国の都道府県や市区町村に対して補助金を交付して導入した。
総務省は同事業を通じて、自治体に対して外部と接続するネットワークを3つに分離するよう求めた。マイナンバーを利用した事務処理を行う「マイナンバー利用事務系」と、国と自治体を結ぶ専用ネットワークである「LGWAN接続系」、Web閲覧やメールの送受信に利用する「インターネット接続系」である。通信経路を3つに分割するネットワーク分離は「三層の構え」と呼ばれる。
このうち住民の情報を扱う住民基本台帳システムや税、社会保障、戸籍事務などを行うマイナンバー利用事務系は、原則として他の領域との通信ができないように分離の徹底が求められた。そのうえで端末を利用する際に二要素認証や、USBメモリーなどの外部記憶媒体を使って端末から情報を持ち出せないように「情報の持ち出し不可設定」などを導入して住民情報の流出を防ぐ対策が盛り込まれた。
総務省は全国の自治体が「三層の構え」を進めるために必要なセキュリティー対策機器を導入する経費を総額510億円と見積もった。そのうちおよそ半分の計233億4588万円を「地方公共団体セキュリティ強化対策費補助金」として46都道府県と1727市区町村の計1773自治体に交付した。
