コンビニで別人の住民票発行、重要システムに求められるセキュリティ
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月15日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・避けようのないインシデント、間違いを届け出ること以外に対策はあるのか
・多くの人に利用される重要システム、求められるセキュリティ対策
今回の解説ニュース
コンビニの証明書交付サービスを利用したところ、別人の戸籍謄本が発行されたということです。誤って本人以外の個人情報を取得しないようにするための方法や、重要なシステムに求められるセキュリティ対策について説明します。
今回のインシデントでは、コンビニエンスストアでの証明書交付サービスを利用した市民に別人の戸籍全部事項証明書が発行されました。原因として、外部に保守を委託している戸籍システムの不具合が挙げられています。
対策として、当初は原因が不明であったため、コンビニ交付で利用できる全ての手続きを休止しています。詳細については引き続き、調査中であるということです。
避けようのないインシデント、間違いを届け出ること以外に対策はあるのか
本人以外の情報を取得しないよう促す対策として、個人データの一部を表示して利用者が本人であるか確認する方法がありますが、利用者側の判断にゆだねられる対策であるため、あまり有効とは言えません。本質的には、システムで認証した本人の個人情報を正しく表示することが必要です。
例えば、Aさんが共有パソコンで個人アカウントにログインしたまま放置しておくと、次に使った人がAさんの個人情報を本人の意思にかかわらず見てしまうことになりかねません。そのため、利用者が本人でない場合はログアウトを促すような画面を表示するサービスを見かけることがありますが、利用者側の判断にゆだねられるため、対策としてはあまり有効とは言えません。
本質的な対策として、システムで認証したユーザと利用者本人を正しく紐づけて、個人情報を表示することが必要です。利用者本人が知っているパスワードや、持っているICカードなどと、システムのユーザを紐づけることができれば、他人の個人情報が表示されることは本来ありません。今回のように、他人の個人情報が表示されることがある場合は、何らかの問題が発生していると言うことができます。
その他のトピック