マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える
社労士向けの業務システムがサイバー攻撃に遭った問題を取り上げた記事。
「国内の社会保険労務士の多くが利用している業務支援システム「社労夢(シャローム)」に対し、ランサムウエア(身代金要求型ウイルス)攻撃があった。なにより気になるのは、このシステムが800万人超分のマイナンバーを含む個人情報を扱っていたこと。もし外部に流出していれば、影響は計り知れない。」
現状(6月15日現在)は...
「発生から約10日たった現在もシステムは復旧しておらず、主力の社労夢をはじめ、関連する複数のサービスがほとんど使えない状況が続いている。(社会保険労務士事務所に勤める)女性は「完全復旧には1カ月近くかかると聞いた。給与計算や社会保険の更新手続きなど、すべて手作業でやっている」と話す。
同社のウェブサイトによると、社労夢は、社労士向け業務支援システムで国内シェアトップ。4月1日現在で、約57万事業所を管理し、約826万人分の個人情報を扱っていた。同社は、外部に情報流出した可能性がないか調査しているが、9日時点では「漏えいした事実は確認していない」としている。」
当局への報告義務については...
「サイバー攻撃などで情報漏えいした恐れがある場合、社労士事務所だけでなく、社労士に給与管理などの業務を委託していた企業も、個人情報保護委員会へ報告する義務がある。
しかし、東北地方の社労士男性によると、同社から11日に「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように働きかけをしている」と連絡があったが、翌12日には一転、「報告は必須」とし、「誤った情報発信したことを深くおわびする」と謝罪があったという。男性は「不誠実な対応をして、顧客が離れるならまだしも、損害賠償を請求されるのが怖い」と漏らした。」
記事では、マイナンバー制度と結びつけて論じようとしているようです。
「気になるのが、社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点だ。
先の女性によると、社会保険や雇用保険、健康保険証の取得や喪失、離職票の発行など、社労士事務所が取り扱う多くの委託業務にマイナンバーが必要という。「書類をつくるたびに、社労夢のシステムに事前に預けた顧客企業の従業員のマイナンバーをシステムから引っ張っている。もしマイナンバーも含めて外部にごっそり流出していたら相当に怖い」と話す。」
マイナンバー制度は、国民ひとりひとりに番号をつけて、社会保険、税金、戸籍・住民票などの手続を合理化するというものですから、社会保険事務を扱うシステムでマイナンバーの情報を扱うのはしかたがないことでしょうし、いまさら、リスクがあるから、マイナンバー制度をやめようということにはならないでしょう。
もちろん、情報漏洩しないようにしてもらわないと困りますが...。
記事は、マイナンバーカード利用拡大やマイナンバーを使う制度の拡大をめぐる政府の動き(「マイナ保険証」など)を批判していて、そこが記事の主眼点なのでしょう。主張はもっともな点はありますが、今回のサイバー攻撃事件は、マイナンバーカード利用拡大とは関係はなく、また、社会保険という従来からマイナンバーを利用している制度の問題ですから、直接の関係はないでしょう。
社労夢の運営会社からは、この東京新聞記事について、反論のリリースが出ています。
東京新聞に掲載された記事について(2023年6月16日)(エムケイシステム)
「東京新聞の2023年6月15日付の記事に、当社が800万人超分のマイナンバーを含む個人情報を扱っており、その流出の可能性及びその影響について掲載されました。しかし、同記事は事実に基づかない全くの憶測にすぎず、当社としましては、東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するよう要請すべく、弁護士に相談しているところです。 」
東京新聞も、マイナンバーなどの個人情報が流出したらたいへんだといっているだけで、流失があったと報じているわけではありません。流出の可能性は十分あるわけですから、事実と異なるとはいえないのでは。
こちらは、6月19日の記事。
マイナンバー漏えいの可能性明かす企業も 社労士向けシステムへのランサムウェア攻撃、ユーザーへの影響広がる(Itmedia)
「社会保険労務士(社労士)向けクラウドサービス「社労夢」などを手掛けるエムケイシステム(大阪市)が、ランサムウェア攻撃の被害を発表してから13日が経過した。19日時点で完全復旧の発表はない。」
「情報漏えいの可能性に関する発表も見られる。讀賣テレビ放送は16日、アルバイト職員の給与計算などを委託していた社労士法人がエムケイシステムのサービスを利用しており、情報漏えいの可能性が否定できないことを発表。サービスを直接導入している東急子会社の東急ウェルネス(東京都品川区)も15日、従業員や退職者1585人分の氏名、住所、マイナンバーなどに漏えいの可能性があると発表した。」
記事を読むと、ある程度、サービスの復旧はなされているようです。ただし、記事で引用されている社労士法人の発表によると、運用に耐えられる代替措置ではないそうです。
