2013年05月25日

◇ 共通番号と情報漏洩

 共通番号の実施が決まった。一方、農水省で情報漏洩があった。この両者は関連する。 ──

 共通番号制度の法案が成立した。今後、日本でも共通番号制度が実施されることになる。世界的には大幅に遅ればせではあるが、ともかく実施される。マイポータルというページで、各人が自分の情報を知ることもできるようになる。
  → 共通番号法成立 読売社説
  → 「共通番号制度」 法律が成立 NHKニュース
  → 共通番号法が成立 個人情報 93項目、政府が一元管理(朝日)
 
 ──

 一方、農水省で情報漏洩があった。
 農林水産省がサイバー攻撃を受け、環太平洋経済連携協定(TPP)交渉などを巡る機密文書が海外に流出した疑いがある問題で、同省が設置した調査委員会は24日、機密指定された124点の内部文書が流出した可能性が高いとする報告書を公表した。
 調査委が情報流出の可能性が高いと認定したのは5台のパソコンで、流出時期は2012年1〜4月。
 調査委では、12年末までの過去2年間の通信記録を分析すると同時に、本省内のパソコン5500台のうち103台を解析。この結果、39台が情報を外部に送信する「トロイの木馬」型などのウイルスに感染し、外部との不審な通信が見つかった。このうち5台からは情報流出の痕跡を確認。残る34台でも、外部からの操作で文書が圧縮されたり、フォルダーに集められたり、特定のキーワードで検索されたりしていた。
 報告書は、どこから不正通信があったのか触れておらず、調査委は24日の記者会見でも「答えられない」と話した。関係者は本紙の取材に、不正通信先はアジアに置かれたサーバーだと明らかにしている。
( → 読売新聞 2013年5月24日 )
 紙の新聞(読売)には、もっと詳しい情報がある。農水省の情報担当者が、業者からの連絡を受けても、よく理解しないまま、「情報漏洩はありません」と報告して、上司もそれを鵜呑みにしていた、という。また、北朝鮮の情報担当者(今では脱北して韓国にいる)の言葉によると、北朝鮮では世界各国の情報入手(クラッキング)を試みており、特に日本はパソコンの管理が大甘なので、情報入手が容易だという。

 ──

 以上の二つの出来事から、次の結論が得られる。
 「現状の政府の情報管理体制は、デタラメである。情報は容易に漏れる。このような状況で、共通番号制度を実施すると、個人情報が漏れになりそうだ」


 これは大いに憂うべきことである。

 ──

 では、どうすればいいか? 私としては、次の二つのことを提案する。

 (1) ログインの管理

 政府の内部で、共通番号のネットワークにログインする際に、担当者の共通番号の入力を求める。さらに、どのような情報を入手したかというログも記録する。
 たとえば、都庁の××課の担当者Aが、国民Bについて共通番号の情報をいくらか請求したとしたら、その担当者Aは、ログイン時に、自分(A)の共通番号を入手する必要がある。また、彼がどのような情報を入手したかを、ホストコンピュータがきちんと記録する。
 ここで、異常な情報入手(たとえば数十万件の個人情報入手)があったら、監視ソフトが検知して、ただちに警告を発する。
 「ピーピー。異常な情報入手が発覚しました!

 逆に言えば、上記のような大量の情報入手が必要な場合には、いちいち何重ものチェックを経て申請する必要あるようにする。(この場合には、あらかじめ警告機能が解除される。……ただし、ここの部分をクラックされると盗み放題になるので、ここについては厳重な管理が必要だ。)

 (2) 情報組織の分離(独立化)

 農水省の情報漏洩の事例では、担当者は情報管理の素人だった。ま、農水省の役人だから、情報管理の素人であるのは、当然だが。そして、このような素人に情報管理を任せている、というのが、日本の役所に共通した傾向である。で、素人任せなのだから、情報漏洩が起こるのは、当たり前のことなのだ。
 そこで、このような制度を全面改定するべきだ。次のように。
 「各省庁の情報管理は、各省庁ごとにやるのではなくて、政府の全組織を横断的にまとめる組織(情報管理庁)に委ねる。この組織が、各省庁の情報管理を、一元的に担当する」

 これは、ピラミッド型組織とは別のものだ。各省庁の情報管理者は、情報管理そのものには関与しないで、情報管理庁との交渉だけを担当する。具体的な細かなことはすべて、情報管理庁が担当する。サーバーの管理も、ウイルス対策も、情報漏洩対策も、この情報管理庁のプロ集団が担当する。すべての省庁の情報管理を、情報管理庁が一元的に担当する。
 このような組織があれば、今回のような情報漏洩は起こらなかっただろう。
( ※ 現状では素人に任せているから、怠慢ゆえにではなく、無能ゆえに、情報漏洩が起こる。「直せ」と命じたところで、無能な人間は直しようがない。豚に「空を飛べ」と要求するようなものだ。)
 


 【 関連サイト 】

 → 農水省サイバー攻撃 個人情報含む120点以上が外部流出の可能性
 → 農水省の内部文書124点流出か サイバー攻撃調査委

 → 共通番号、流出の恐れ、会社からも 家族の分も通知
 → マイナンバー、効率化できるが情報漏えい不安も


posted by 管理人 at 13:26| Comment(5) | その他 | 更新情報をチェックする
この記事へのコメント
内閣官房にセキュリティセンターがあります。
新規に組織をつくるのも良いかとは思いますが、既存の組織を有効活用するほうが効率的と考えます。
Posted by 反財務省 at 2013年05月26日 13:19
セキュリティを高めるだけなら、IPA もあります。
 ただ、本項の提案は、セキュリティだけじゃなくて、あらゆるパソコンの管理全般です。相当多数の人間が必要となります。

 なお、新規に組織を作るといっても、既存の組織を廃止するわけですから、スクラップアンドビルドです。人員の総数は、かえって減るでしょう。(専門知識および一元管理による効率化) 人員やコストは現状の数分の1で済むはずです。
Posted by 管理人 at 2013年05月26日 13:32
日本の省庁は縦割りサイロシステムの塊なので、別組織を作ってもそれを管理するのは無理です。
統一的に管理するには、省庁を横断して利用するDCセンターにプライベートクラウドシステムを導入して、全てのシステムをそこに統合する、という前提が絶対に必要。
さらに、各省庁には情報を保存できないアクセス端末だけあって、全ての情報と操作をクラウド上に集約してしまえば、新省庁とかは必要なく、全体のポリシーを決定するなんからの機関があれば十分となる。

10年後にはできててほしいな。
Posted by T.M. at 2013年05月27日 00:26
>全ての情報と操作をクラウド上に集約してしまえば

そのクラウドの安全性は誰がどうやって保証しますか?
Posted by den at 2013年05月29日 16:12
> そのクラウドの安全性は誰がどうやって保証しますか?

求める保証のレベルしだいですが、コンピュータ&ネットワークセキュリティの専門家にガチガチに作ってもらえば、かなりの安全性は確保できます。
ただし、コストは掛かるし、穴の無いシステム構築するのが相当にたいへん。
だから、分散したシステムを個別に守るより、集中させたシステムを守る方が効率が良い。

守るものが、多少の被害は問題にならない、という種類のものであれば、分散して配置させることで一度の被害を抑える、という対策もあり得ますが、こと情報に関しては、1カ所から漏れることが致命的になりかねないので、集中化させて防御を固めるという対策しか方向性としてはあり得ない。

ちなみに、今のアマゾンやグーグルのクラウドサービスレベルの安全性では全く足りない。
だから、やるなら自前でシステムを作る必要があります。

完全な安全性なんて、本質的にはだれも保証できないけどね。
Posted by T.M. at 2013年05月29日 20:54
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。