給与明細を別ユーザが閲覧可能、改修したシステム 再開当日 再停止(厚生労働省) | ScanNetSecurity
2024.03.29(金)

給与明細を別ユーザが閲覧可能、改修したシステム 再開当日 再停止(厚生労働省)

厚生労働省は6月9日、6月5日に運用を停止した厚生労働省職業安定局所管の雇用調整助成金等オンライン受付システムにて発生した不具合と個人情報流出を確認したと発表した。

インシデント・事故 インシデント・情報漏えい
厚生労働省は6月9日、6月5日に運用を停止した厚生労働省職業安定局所管の雇用調整助成金等オンライン受付システムにて発生した不具合と個人情報流出を確認したと発表した。

これは同省職業安定局所管で5月20日からシステム不具合により停止していた雇用調整助成金等オンライン受付システムが、6月5日に運用再開したが、同日中に申請を行った会社の添付書類が他者に閲覧可能になるという不具合が発生し、再度停止したというもの。

漏えいしたのは、1つの事業者の申請に添付された申請書類で、役員(2名)に関する情報(氏名、役職、性別、生年月日)と労働者(2名)に関する情報(氏名、休業日数・休業手当額、タイムカード、給与明細)、事業者の銀行口座の情報などが含まれており、計10社の事業者に閲覧された。なお、不正侵入防止システムや不正侵入検知システムのログを調べたが、外部からの不正アクセスの記録は無い。

同省では申請書が閲覧された事業者1社に対し6月6日、電話にて説明と謝罪を実施、他社の申請書類を閲覧した事業者10社には6月6日、7日に電話にて説明と謝罪を行い、うち閲覧した書類をダウンロードした1社には廃棄を依頼した。また、登録作業を行った全事業者2,611社に対し、6月6日にメールにてシステム停止したことについて謝罪を行った。

同省によると、ユーザーが申請作業中に特定の画面でシステム上の「戻る」ボタンではなく、ブラウザで前の画面に戻る操作を行った場合に、適切なデータを参照せずに特定の1社のデータを表示するプログラムミスが直接の原因。前回の不具合を踏まえ、大量の申請が同時に行われることを想定したテストを行っていたが、ユーザーの様々な動作を想定したテストが不十分であった。

同省では今後、外部専門家による同省及び委託者を対象にプロジェクト管理を含むシステム監査を実施し、原因の徹底的な究明を行い、その結果を踏まえ必要な対応を行うとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×