国内の社会保険労務士の多くが利用している業務支援システム「社労夢(シャローム)」に対し、ランサムウエア(身代金要求型ウイルス)攻撃があった。なにより気になるのは、このシステムが800万人超分のマイナンバーを含む個人情報を扱っていたこと。もし外部に流出していれば、影響は計り知れない。政府・与党によってマイナンバーの利用範囲拡大や健康保険証廃止を含む改正マイナンバー法が成立したばかりだが、こんなことで大丈夫か。(岸本拓也、木原育子)

◆完全復旧には1カ月?
 「5日にサービスがダウンして今もお客さんのデータが全く見られない。繁忙期なのに勘弁してほしい」
 北陸地方の社会保険労務士事務所に勤める50代の女性は14日、「こちら特報部」の取材に憤まんやる方ない様子で話した。

発端は「社労夢」を提供するエムケイシステム(大阪市)が、ランサムウエアによるサイバー攻撃を受けたことだ。同社の発表文によると、5日早朝にデータセンターのサーバーがダウンし、調査したところ、サイバー攻撃を受けたことが分かった。
 発生から約10日たった現在もシステムは復旧しておらず、主力の社労夢をはじめ、関連する複数のサービスがほとんど使えない状況が続いている。女性は「完全復旧には1カ月近くかかると聞いた。給与計算や社会保険の更新手続きなど、すべて手作業でやっている」と話す。
 同社のウェブサイトによると、社労夢は、社労士向け業務支援システムで国内シェアトップ。4月1日現在で、約57万事業所を管理し、約826万人分の個人情報を扱っていた。同社は、外部に情報流出した可能性がないか調査しているが、9日時点では「漏えいした事実は確認していない」としている。

◆氏名、生年月日、給与、ナンバーも管理
 気になるのが、社労夢が扱う個人情報には、社労士の顧客企業の従業員や扶養家族の氏名や生年月日、給与などに加えて、12桁のマイナンバーもある点だ。
 先の女性によると、社会保険や雇用保険、健康保険証の取得や喪失、離職票の発行など、社労士事務所が取り扱う多くの委託業務にマイナンバーが必要という。「書類をつくるたびに、社労夢のシステムに事前に預けた顧客企業の従業員のマイナンバーをシステムから引っ張っている。もしマイナンバーも含めて外部にごっそり流出していたら相当に怖い」と話す。
 NTTデータ先端技術のウェブサイトは、「マイナンバー単体ではほとんど使い道はない」としつつ、マイナンバーを含んだ形で個人情報が漏えいした場合には、(1)マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われる(2)他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われる—といったリスクがあると指摘する。
 今回のケースで「ごっそり」というなら、マイナンバーとその他の個人情報がセットになり、(1)(2)のリスクが高まる恐れもある。

◆システム提供企業は「回答控える」
 エムケイシステムはこうした事態をどう受け止めているのか。こちら特報部は、流出の恐れのある個人情報の中にマイナンバーが含まれていたかどうかなどを質問したが、「本件に関するメディアへの回答は差し控える」と答えた。
 同社も混乱しているようだ。サイバー攻撃などで情報漏えいした恐れがある場合、社労士事務所だけでなく、社労士に給与管理などの業務を委託していた企業も、個人情報保護委員会へ報告する義務がある。
 しかし、東北地方の社労士男性によると、同社から11日に「社労士事務所が個人情報保護委員会への報告義務を負わなくてよいように働きかけをしている」と連絡があったが、翌12日には一転、「報告は必須」とし、「誤った情報発信したことを深くおわびする」と謝罪があったという。男性は「不誠実な対応をして、顧客が離れるならまだしも、損害賠償を請求されるのが怖い」と漏らした。

続きはWebで

東京新聞
2023年6月15日 12時00分
https://www.tokyo-np.co.jp/article/256708