事故から学ぶ

雇用調整助成金、また個人情報流出 オンライン申請再停止―厚労省

事故概要

業種 厚生労働省
発生時期 2020/6/5
漏えい人数 未発表
事故概要

厚生労働省は5日、休業手当を支払った企業に支給する雇用調整助成金のオンライン申請で、システムの不具合から再び利用を停止したと発表した。企業が申請した個人情報を、別の会社が閲覧できる状態になっていた。原因の調査を急ぐが、再開のめどは立っていない。
オンライン申請は先月、開始直後に個人情報の流出が発覚し、運用を停止。5日に再開したばかりだった。午後2時半ごろに3社から、別の1社が添付したファイルが閲覧できると、厚労省に通報があり、午後3時前に利用を停止した。
添付書類には申請書類のほか、給与明細や出勤簿など、個人の雇用内容に関わる書類も含まれており、今後流出した情報の範囲について、確認を進める。厚労省によると停止までに約2000社が登録し、うち約200社が申請を終えていた。
システムは厚労省が5月1日に富士通と約1億円で契約していた。同省の担当者は「利用になられている事業主には大変ご迷惑をおかけし、重ねておわびする」と謝罪した。
新型コロナウイルスの感染拡大を受け、厚労省は助成金を拡充するとともに、手続きを簡素化するためオンライン申請を5月20日に開始した。しかし、複数の企業に同じIDが発行され、他社の個人情報が見られる状態になる問題が発生。即日システムを停止し、改修を行っていた。
新型コロナを受けた雇用調整助成金の申請は、6月4日時点で10万9127件、支給決定は5万4291件。

引用元 JIJI Online

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ誤開示防止)

チェックリストにある要求ルール:

ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?

■ 推奨対策

対策:

特定のブラウザで一定の操作を行うと、管理用データの一部が表示される脆弱性が存在した、という言葉通りだとすれば、システムテスト不足である。
システム関係者であれば、ブラウザにより違うシステム挙動があることは一般常識であり、当然、システムリリース前テストでも十分な確認を行うべきである。
テスト不足かテスト未実施である。

具体例:

複数のブラウザでテストをする、というのは常識ではあるが、地方自治体や企業では管理上、同一仕様のブラウザを利用するのでテストを省略したり問題は発覚しない。しかし一般市民に開放するシステムでは、PCの仕様もOS,ブラウザ、ネットワークなども様々で事業所内使用のシステムと異なったテストが絶対必須であるが省かれてしまったようである。省いた理由をつぶすことが事故対策になる点を認識すべきである。
特に登録をさせる画面がある場合、画面内で検索させる機能が不正アクセスにつながるケースが多いため、セキュリティー対策を十分に行うとともに、稼働後も脆弱性追求の手を緩めてはならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。