事故から学ぶ
雇用調整助成金、また個人情報流出 オンライン申請再停止―厚労省
事故概要
| 業種 | 厚生労働省 |
| 発生時期 | 2020/6/5 |
| 漏えい人数 | 未発表 |
| 事故概要 | 厚生労働省は5日、休業手当を支払った企業に支給する雇用調整助成金のオンライン申請で、システムの不具合から再び利用を停止したと発表した。企業が申請した個人情報を、別の会社が閲覧できる状態になっていた。原因の調査を急ぐが、再開のめどは立っていない。 |
| 引用元 | JIJI Online |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ誤開示防止)
チェックリストにある要求ルール:
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
■ 推奨対策
対策:
特定のブラウザで一定の操作を行うと、管理用データの一部が表示される脆弱性が存在した、という言葉通りだとすれば、システムテスト不足である。
システム関係者であれば、ブラウザにより違うシステム挙動があることは一般常識であり、当然、システムリリース前テストでも十分な確認を行うべきである。
テスト不足かテスト未実施である。
具体例:
複数のブラウザでテストをする、というのは常識ではあるが、地方自治体や企業では管理上、同一仕様のブラウザを利用するのでテストを省略したり問題は発覚しない。しかし一般市民に開放するシステムでは、PCの仕様もOS,ブラウザ、ネットワークなども様々で事業所内使用のシステムと異なったテストが絶対必須であるが省かれてしまったようである。省いた理由をつぶすことが事故対策になる点を認識すべきである。
特に登録をさせる画面がある場合、画面内で検索させる機能が不正アクセスにつながるケースが多いため、セキュリティー対策を十分に行うとともに、稼働後も脆弱性追求の手を緩めてはならない。
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
