Information
SIPS Security Report

【配信日】 2020年8月11日

マイナンバーカードのセキュリティは大丈夫か

マイナンバーカードとは、「行政手続における特定の個人を識別するための番号の利用等に関する法律」に基づき、住民が申請した場合に発行されるプラスチック製のICカードである。

総務省は、当初今年7月末のマイナンバーカード交付目標枚数を 3000万～4000万枚に設定していたが、実際の交付枚数は4月時点で約2000万、現時点での普及率は約16％である。

「公平・公正な社会の実現」と「行政の効率化」と「国民の利便性の向上」などを目的にスタートした「マイナンバー」制度であるが、新型コロナウイルスの「特別定額給付金」ではマイナンバーカードを使いオンラインで手続きできるところが、申請内容の確認作業に手間がかかり、オンライン申請の受け付けを取りやめる自治体も相次いだ。
事務の効率化を目的に・・・と始めたが、行政機関もまだまだ扱いきれてないと言わざるを得ない。

マイナンバーカードにある情報は、「氏名」「住所」「生年月日」「性別」「顔写真」など身分を証明する表記があり、それ以外に「所得」「社会保障」「税金」「職歴」「医療情報」「銀行口座」等の情報が紐づけられている。

政府は、キャッシュレス決済と連携するポイント還元策「マイナポイント」によって普及拡大を目指しているが、普及は加速するのか。
そして情報セキュリティという観点から考えて、このまま普及してよいのか若干疑問を覚える。

日本のマイナンバー制度と似たような制度を持つアメリカや韓国などの海外では、マイナンバーによるなりすまし被害も報告されていて、アメリカではなりすましの被害額は毎年約5兆円にも上る。
南米エクアドルでは昨年9月国民ほぼ全員の個人情報がインターネット上に流出する事故もあった。

日本のマイナンバーカードのセキュリティ面を見てみると、ICカードそのものは高度なセキュリティを使い対策が取られているが、マイナンバーの各種情報は当然デジタルデータとして存在する。
定められたれたデータベース上で管理され、利用する際は一般的なコンピュータシステム及びネットワークを通じて利用され、主に利用するのはカードの本人と自治体などの行政機関である。

この時セキュリティリスクとして考えなければならないポイントは複数存在する。
【ICカードそのもののセキュリティ】【データを管理するコンピュータシステム】【通信するネットワーク】【データを利用する人間】大きく分けてこの4つの点のセキュリティリスクを検討する必要がある。

前述した通りICカードそのものは高度なセキュリティ技術が採用されていて、リスクは低い。
【データを管理するコンピュータシステム】【通信するネットワーク】に対しては、構築時に政府の要求する仕様に合わせた情報セキュリティ対策が実施されているのは間違いない。
しかしそのセキュリティ対策は本当に万全と呼べるのだろうか。

高度な技術を持つハッカーはインターネットが繋がっていれば侵入してくる。
インターネットとは世界中のコンピュータや情報機器がつながっているネットワークなのだから、接続したい場所に指定された方法でアクセスすれば接続できる。

当レポートでも何度か紹介しているように、ハッカーはセキュリティソリューションなどは問題なく迂回して侵入する。認証も暗号化も正規のアクセスと同じようにクリアして通信してしまう。
しかも目的の情報を抜き取っても侵入や情報流出の痕跡も一切残さない。
仮に不正侵入が発見されても、自らの存在を隠蔽させるための仕組みを考えてアクセスしている。
このような高度な技術を中国ブラックマーケット内のハッカー達は共有し、組織的にハッキング技術向上のために教育を実施し、ハッキング時には作業分担しハッキングを行っているのである。
7月中旬に中国ブラックマーケットでは、【日本の住民登録証(マイナンバー)を販売します。日本の携帯電話の認証代行します。】という掲示が確認された。
中国ブラックマーケットにおけるマイナンバーに関する書き込みは今回が初めてではない。
既に日本のマイナンバーの情報はターゲットとなっていて着々とハッキングがされていたのであろう。
普及率がまだ低いとはいえ、登録されているマイナンバーの情報は既に搾取されている。
流出があるとすれば、情報を管理する機器もしくは通信するネットワーク上からの流出ではないかと考えられる。

今回の「情報流出の可能性」については、既に関連する方面に通知済で、対応に動いているものと思われるが、マイナンバーシステム上を専門家が確認しても、侵入や情報流出の痕跡や事実を確認することは、おそらく難しいと考えられる。ハッカーの高度な侵入技術を見破るのは容易なことではなく確認するためには該当データベースは勿論、関連システム、「所得」「社会保障」「税金」「職歴」「医療情報」「銀行口座」等の紐づけられた情報のある組織・会社などのシステムやネットワーク、そしてマイナポイント関連の全ての機器やネットワークを調査しなければ正確な把握はできない。
「ここはきちんとセキュリティ対策しているから問題ない」という考えは通用しないのである。

インターネットで繋がるネットワークにおいて、ハッキングによる情報流出は必ず起こり得るものであるという事であり【ハッキングされた事をどうやって知るか】【ハッキングされた時にどうするか】が極めて重要 で、ハッキングされた事実をより早く知れば、早期対応による二次被害は最小化できる。

ハッキングの事実及び情報流出の規模、経路、手口等を調査し報告するのがSIPSのサービス内容であるが、これらが分かれば次の一手も適切な対策を打つことができ費用も最小化できる。
正確にこれらの事実を確認し、実被害が出ないことを祈るばかりである。

最後に【データを利用する人間】においても不安があると言わざるを得ない。
マイナンバーのデータを扱っているのは、新型コロナウイルスの「特別定額給付金」の時に、「コンピュータ処理より紙の処理の方が早くて確実」としてオンライン申請を取りやめるような、コンピュータに不慣れな 人達が多く、彼らにハッカーと対抗するような高度な要求をしたところで、結果は見えている。
マイナンバーに携わる人間自身のセキュリティ意識も変えなければならない。

まだまだセキュリティ対策における課題は多数存在する「マイナンバーカード制度」であるが、利便性の追及だけではなく、何度も慎重にリスク分析を繰り返し安全面の確保を考える必要があると思う。
国策として出した以上、国民が納得する形で推進してもらえることを期待してやまない。
---------------------------------------------------------------------------------
　<参考URL>
総務省：
マイナポイントに乗じた詐欺にご注意ください
https://mynumbercard.point.soumu.go.jp/alert/index.html

NTTデータ先端技術(株)：
マイナンバー漏えい時の想定被害について
http://www.intellilink.co.jp/article/column/security-myn04.html

日本経済新聞：2019/6/11
個人番号漏洩279件　18年度、紛失や不要な収集
https://www.nikkei.com/article/DGXMZO45931660R10C19A6CR0000/