事故から学ぶ

雇用調整助成金システム、不具合により個人情報流出へ

事故概要

業種 厚生労働省
発生時期 2020/05/20
漏えい人数
事故概要

雇用調整助成金等オンライン受付システムの運用停止について
2020/5/20 12時に運用を開始することを予定していた、厚生労働省職業安定局所管の雇用調整助成金等オンライン受付システムにおいて、不具合が発生していることが確認されたため、運用開始を延期するとともに同システムの運用を停止し、現在、原因の把握等に努めていると厚労省が発表した。
雇用調整助成金を担当する厚労省も2020年5月20日、省の公式ウェブサイトでシステムの運用停止を発表しています。同省によればオンライン受付システムにおいて「不具合」が発生したため、運用の延期を決定したとのこと。ただし、記事発表時点で(公式サイト上では)情報流出の有無は明らかにしていません。なお、同省は今後、公式ウェブサイトで稼働状況を通知する方針。システム障害に伴う情報流出についても、今後明らかになるものと見られます。

引用元 NIKKEI

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19(第21条)従業者の監督 作業ルールの徹底(ホームページ誤開示防止)

チェックリストにある要求ルール:

ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?

■ 推奨対策

対策:

特定のブラウザで一定の操作を行うと、管理用データの一部が表示される脆弱性が存在した、という言葉通りだとすれば、システムテスト不足である。
システム関係者であれば、ブラウザにより違うシステム挙動があることは一般常識であり、当然、システムリリース前テストでも十分な確認を行うべきである。
テスト不足かテスト未実施である。

具体例:

複数のブラウザでテストをする、というのは常識ではあるが、地方自治体や企業では管理上、同一仕様のブラウザを利用するのでテストを省略したり問題は発覚しない。しかし一般市民に開放するシステムでは、PCの仕様もOS,ブラウザ、ネットワークなども様々で事業所内使用のシステムと異なったテストが絶対必須であるが省かれてしまったようである。省いた理由をつぶすことが事故対策になる点を認識すべきである。
特に登録をさせる画面がある場合、画面内で検索させる機能が不正アクセスにつながるケースが多いため、セキュリティー対策を十分に行うとともに、稼働後も脆弱性追求の手を緩めてはならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。