【マンスリーレポート2004/02】インシデント事後対応　ベストは該当なし、　ワーストは国土地理院、国税庁、セゾン情報システムズ、三洋信販

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

製品・サービス・業界動向業界動向

2004年3月26日（金） 12時00分

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.ns-research.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　2004年2月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2004年2月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは　該当なし

　2004年2月に発生したネットワーク上のインシデントの中には、ベストと見受けられるものがなかったため、今回は「該当なし」とします。

>> ワーストは　国土地理院、国税庁、セゾン情報システムズ、三洋信販

　テレビや新聞を見ても、ここ1年程で「個人情報の流出」が報道される機会は着実に増えている。これは、社会において個人情報の流出が問題視されるようになり、以前では取り扱われなかった事件が報道されるようになったことを意味していると思われる。

　昨今の流出事件の特徴のひとつは、個人情報が「どのように悪用されるか」といった側面が具体的になっていることだろう。以前は「名前や住所が流出してもDMが来る程度でしょ」とタカをくくっていた人も、情報を手に入れた悪意の第三者による、詐欺事件などの巧妙な手口が露呈するにつれ、問題と当事者意識が一気に浸透したように思える。

　社会全体のセキュリティ機運が高まりつつある昨今だが、いまだに杜撰な管理体制により、流出や、流出の可能性を生むシステムの不具合が非常に多い。今回ワーストに選出した企業・団体は4つ。ひとつづつ検証してみよう。

　【　国土地理院　】

　まず最初に、国土地理院。2月2日に、同院のWebサイトにおいて3,505件のユーザ情報が外部から閲覧できる状態にあったと発表している。閲覧の可能性があったのは「勤務先」「氏名」「電話番号」「メールアドレス」「利用目的」の5項目。「電子基準点データ提供用ホームページ」にて収集された利用状況調査アンケートにより収集されたデータである。原因は、担当者による人為的なミスであるとのこと。

　閲覧可能状態であることが発覚したのは1月26日。外部ユーザからの指摘で発覚し、すぐさま閲覧できない状態にした。また、同院に聞いたところ「その後、個人情報収集を中止しました。現在（2004年3月19日現在）までにユーザからのクレームや被害等の報告は、届いていません」との回答を得た。

　そもそもアンケート目的での収集において氏名や連絡先が必要とは思えないが、同院では電子基準点データに関するさまざまなお知らせを迅速に伝えるための目的で、個人情報収集に至ったという。むろん「（後々何かに使えるかもしれないから）ついでに集めておこう」といったケースは論外であるが、必要に迫られないかぎり個人情報を集めないことが、流出を防ぐ最善策であることは間違いない。

　ただ、その考え方が発展して「なにもしないのがベスト」というところに行き着いてしまえばサービスそのものが貧弱になり、国民に利便性がもたらされない、格好だけのサービスとなってしまう可能性もある。サービスとリスクのバランスを計りながら人員や予算を適切に配置することが最も重要であるといえよう。

　また告知については、同院HPにお詫びの掲載を2月2日から3月1日までの一ヶ月間、実施したという。今後についてお聞きしたところ、現在は「専門家による点検強化を行い、再発防止と管理の徹底」「職員等への教育・啓発活動を再度」実行しているとのこと。また今後の予定として「平成16年度に外部の専門機関に委託し『情報セキュリティ監査』を実施し、情報システム全体の対策強化を図る」ことを掲げている。

　◇国土地理院
http://www.gsi.go.jp/
　◇国土地理院のWebサイトで3,505件のユーザ情報が漏洩(2004.2.3)
https://www.netsecurity.ne.jp/article/1/12178.html

>> 国土地理院　の★取り表

対応の速さ　　　　★
報告者との連絡　　★★
社内体制　　　　　★★
ユーザ告知方法　　★
ユーザ告知内容　　★
その後のフォロー　★

★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★　　　　　最悪　なしあるいはないも同然
★★　　　　申し訳程度。
★★★　　　許容範囲。
★★★★　　適切な対応。
★★★★★　考えられることは全て対応。迅速。

　【　国税庁　】

　2月4日、国税庁の「所得税の確定申告書作成コーナー」において不具合が発見された。

　本サービスは、Webの画面の指示に従って所得金額などを入力すると所得税額などが表示され、そのまま印刷すれば申告書として使用できる。2003年1月より提供されていたが、今回の不具合は、入力した情報を印刷すると他人が入力した情報が表示されてしまうというもの。つまり、場合によっては他人の所得、経費、氏名、医療費控除額などが克明にわかってしまうという、由々しき問題である。2004年は1月13日よりサービスを開始しており、すでに119万件のアクセスと30万件の利用（印刷）があった。

　経緯は、1月30日に利用した男性のところで他人の申告情報が印字されてから2月3日までに計4件の流出が判明。いずれも利用者からの連絡で発覚した。原因はシステム上の欠陥。2名が同時に印刷ボタンをクリックすると、どちらかのデータがもう一方のデータを上書きしてしまうことから生じたと見られている。

　同庁はプリントアウトされた書類を回収し、当該ユーザが利用したパソコンのデータが消去されたことを確認している。なお、同庁の担当者に聞いたところ欠陥を是正した際には外部監査を入れ、対応にあたったとのこと（ちなみに今後、定常的に外部監査を入れることは考えていないとのこと）。さらに現在（3月19日）までに流出が判明したのは計5件だが、あくまでも通報があった件数であり、他にも流出している可能性は否めないという。

　なにしろ、非常にデリケートな情報である。にも関わらず数日間で国税庁HPから告知とお詫びが姿を消してしまっており、被害者の発見とユーザに対する姿勢が「待ち」の意味合いを持っていることが個人的には少々気になる。システムに欠陥があったのは確定申告受付以前のこと。申告者は提出するために必ず税務署を訪れるが、その場所を本件の解明、被害に遭われたユーザの発見に活用できなかっただろうか。

　◇国税庁のWeb確定申告書作成システムに他人の情報が表示されるミス(2004.2.5)
https://www.netsecurity.ne.jp/article/1/12213.html
　◇国税庁：確定申告等情報
http://www.nta.go.jp/category/kakutei/kakutei.htm

>> 国税庁　の★取り表

対応の速さ　　　　★
報告者との連絡　　★★
社内体制　　　　　★
ユーザ告知方法　　★
ユーザ告知内容　　★
その後のフォロー　★

[ Prisoner DAMRAK ]

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》