富士通のコンビニ誤交付 地方公共団体情報システム機構のエラー通知機能せず

マイナンバーを使ってコンビニで住民票等が取得できるコンビニ交付システムで別人の住民票やマイナンバーが漏えいした事件。地方公共団体情報システム機構(J-LIS)がエラーを検知して通知していたにもかかわらず、誤交付に気づかず個人情報は漏えいしたまま放置されていた。

addelivery.biz
サイバー脅威をAIで防御するSentinelOneのEDR – AD delivery
https://addelivery.biz/2023/05/07/サイバー脅威をaiで防御する/
SentinelOneはAIによる自律型のEDR(Endpoint Detection and Response)製品を提供しているサイバーセキュリティ企業です。自動で検知、分析、修復、復旧まで実現し、しかも端末1台から導入か可能なので大企業にとどまらずデジタル化する中小企業の強い味方です。SentinelOneは深刻化するサイバー脅威からあらゆる企業・組織を防御します。

コンビニ交付は、マイナンバーカードを使って住民票など市区町村が発行する証明書を全国のコンビニエンスストア等の端末(マルチコピー機)から取得できるサービス。市区町村、事業者、地方公共団体情報システム機構がそれぞれ契約を交わしてシステムを連携して行われている。地方公共団体情報システム機構は国と地方公共団体が共同で運営している法人で、住民基本台帳ネットワークシステムやマイナンバーシステムなどを運用している。

ことの発端は今年3月27日に横浜市に複数の市民から「別人の住民票が出力された」と連絡があったことに始まる。横浜市が調べたところコンビニ交付システムの証明書の誤交付は10件18人分におよび、誤交付された書類は住民票にとどまらず住民票記載事項証明書、印鑑登録証明書を含み、住民票にはマイナンバー(個人番号)が記載されたものもあった。マイナンバーを含む個人情報は個人情報保護法上の特定個人情報とされ、個人情報よりもさらに厳重な管理が求められている。

横浜市のコンビニ交付システムは、横浜市が富士通子会社の富士通Japan(東京都港区)と契約をして行われているもので、富士通Japanによるとコンビニ交付の利用の増加にシステムが追い付かず、システムに負荷がかかったことで遅延が生じ、遅延した処理が自動的に取り消されたことで次の処理が印刷され誤交付になったという。地方公共団体情報システム機構によると、昨年3月のコンビニでの住民票等の交付数は約179万通だったが今年3月の交付数は約292万通と100万通以上増加しており、今年4月のデータでは横浜市の交付が全国でもっとも多かったことから横浜市が交付する住民票等のコンビニでの取得が急激に増え、それにシステムが追い付いていなかった実態が伺え、背景にマイナポイントの付与によりマイナカードを急速に普及させた国の施策があったと言える。

富士通Japanが説明する横浜市のコンビニ交付サービス誤交付の原因図=公開資料より

ところが、横浜市のケースを受けて富士通Japanが他の自治体の同社コンビニ交付サービスについて調査したところ、足立区でもコンビニ交付に誤交付があったことがわかった。ただし、足立区のシステムは横浜市のシステムとは異なり、また、今年1月4日から稼働している足立区に限定して開発されたシステムだという。このケースでは、住民票と印鑑登録証明書が誤交付され計4人の個人情報が漏えいした。漏えいしたのは3月22日と4月18日だったが区が漏えいを確認できたのは4月28日で、3月22日の最初の漏えいから1カ月以上も経過していた。もし、横浜市のケースがなかったら足立区の誤交付は長期にわたり明らかにならなかった可能性が高い。

しかも足立区のケースでは地方公共団体情報システム機構がエラーを検知していたにもかかわらず誤交付がわからず、個人情報の漏えいに気がつかなかった。足立区によると、1月17日と3月22日、4月18日にそれぞれ地方公共団体情報システム機構よりエラーを検知した通知が足立区にあり、足立区は富士通Japanに確認を求め、富士通Japanからはいずれも「エラーの後、再度申請が行われ、印刷は正常に終了している」との回答があったという。そのため区は誤交付や個人情報漏えいの認識には至らなかった。

しかし、4月22日になって富士通Japanから「申請した区民とは異なる方の証明書が発行される可能性がある」との報告があり、富士通Japanがプログラムを入れ替えるとともに新システムに移行した1月4日以降のログを検証し、その結果、地方公共団体情報システム機構がエラーを検知した1月17日と3月22日、4月18日のログにエラーがあることが判明したという。そのため区が該当する区民の自宅を訪問して確認した結果、3月22日と4月18日に交付された証明書については別人のものだったことが判明し個人情報が漏えいしていたことが明らかになった。

富士通Japanが説明する足立区のコンビニ交付サービス誤交付の原因図=公開資料より

富士通Japanは、ログのエラーと地方公共団体情報システム機構のエラー通知との関連について何も触れていないが、同じ日に発生しており足立区からエラーの確認を求められた時に詳しく調べていればプログラム上の問題や誤交付に気づくことができたのではないだろうか? にもかかわらず再申請によって証明書が印刷されて証明書が交付されていたことから正常に動作していると判断し、その結果、プログラムの本質的な問題を見逃す結果になったのではないだろうか? いずれにしても地方公共団体情報システム機構がエラー通知を出しても、自治体、事業者ともに誤交付に気づくことなく住民の個人情報を漏えいさせていた状況であり、エラー通知は実質、機能していなかったと言える。

【出典】

https://www.lg-waps.go.jp/index.html

https://www.fujitsu.com/jp/solutions/industry/public-sector/local-government/solutions/micjet/convenikoufu/

https://www.city.yokohama.lg.jp/city-info/koho-kocho/press/shimin/2023/0407konbinigokouhu.html

https://www.fujitsu.com/jp/group/fjj/about/resources/news/topics/2023/0501.html

https://www.city.adachi.tokyo.jp/koseki/20230501roei.html

 

【PR】
addelivery.biz
あなたを若返らせる再生医療 – AD delivery
http://addelivery.biz/2020/06/28/美容から治療・予防あなたの体を蘇らせる再生/

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください