デジタル庁が、個人情報保護委員会から行政指導を受けた。
2023年9月20日、公金を受け取る口座の情報が別人のマイナンバーに誤って登録されるミスが相次いだ問題で、個人情報保護委員会がデジタル庁に改善を求めた。
この問題では、公金を受け取る預貯金口座をマイナンバーとひも付ける作業で別人が登録された。誤登録のおそれがある事例は940件にのぼる。
登録された口座は、年金や児童手当、税金の還付金など幅広い分野で使われる。
たとえば年金は、多くの受給者にとって給料のように生活に不可欠な資金だ。こうした大切なお金が他人の口座に振り込まれるようなミスは、可能な限りゼロに近づける必要がある。
個人情報保護委員会が公表した文書は、多くのミスがなぜ起きたのかについてもかなり細かく分析している。
民間企業で働く人であっても、日々の業務の中で個人情報を扱う機会がある人は少なくないだろう。
今回はなぜミスが多発し、どうしたら再発を防げるのかに注目したい。
「ログアウト忘れ」が直接の原因
個人情報保護委員会の公表文書は、窓口のレベルでなぜミスが多発したのかを明らかにしている。
スマホやPCでも登録が可能だが、各市町村にも「支援窓口」が設置された。スマホやPCで登録ができない人たちを支援することが目的だ。
まずAさんがこの窓口にある端末で登録作業を始める。
もちろん、市町村の支援員がAさんといっしょにデータの入力を支援する。
Aさんが口座情報を登録しようとしたが、口座番号がわからずいったん端末から離れる。
このとき、本来であれば、人や支援員がログアウトやシャットダウンなどの操作をすることになっていたが、ログアウトがされないままだった。
そして次のBさんがやってくる。
Bさんは、Aさんがログインしたままの端末で口座情報を入力する。
するとAさんのマイナンバーに、Bさんの銀行口座が登録される。
Aさんが年金受給者だったとすると、Aさんの年金はBさんの口座に振り込まれることになる。
個人情報保護委員会は、ログアウトの確認の不徹底が誤登録の「直接的な原因」だと結論づけている。
デジタル庁の対応が遅かった
窓口で誤登録が発生したときに、デジタル庁はどう対応したのだろうか。
2022年11月から2023年4月にかけて、4つの市区町村で誤登録が発生した。
市区町村側は誤登録が発生したことをデジタル庁に報告した。
しかしデジタル庁の担当職員は、誤登録の解消などを市区町村に確認したものの、デジタル庁の管理職には報告しなかった。
4月10日に福島市から誤登録の報告を受けた際、担当職員が管理職に報告し、管理職は担当統括官に報告した。
その後、福島市で4件の誤登録が確認されたため、河野太郎大臣にも報告が上がっている。
短く見積もっても、11月から4月までの約5ヵ月間、ミスは他の市区町村に共有されず、誤登録件数がふくれ上がる原因になった。
個人情報保護委員会は、こうしたデジタル庁の対応を問題だと考えているようだ。
もともとデジタル庁は「ログアウト忘れ」を防ぐため、端末のシャットダウンを徹底するよう各市区町村に連絡していた。
ミスの発生を受けて早めにシャットダウンの徹底をあらためて周知していれば、少なくとも誤登録の頻発は防げた可能性はある。
個人情報保護委員会の公表文書は、デジタル庁に対して次のように指摘している。
「報告対象事案が生じた際には、適時適切に組織体制上の上位者へ報告させ、事実関係を組織内で共有して安全管理上の対応を策定するための体制を整備するなど、組織的安全管理措置に改善が必要である」
つまり、問題がきちんと上司に報告され、組織として対応できるように改善をしなさいと言っているのだ。
指導のタイミングが気になる
今回の行政指導で気になったのは、指導を出すタイミングだ。
この連載の記事
- 第281回 SNS「なりすまし広告」詐欺被害拡大。実効性ある法整備はできるか
- 第280回 データセンター建設ラッシュ 日本への投資が熱を帯びる3つの要因
- 第279回 ラピダスがシリコンバレー拠点を作ったワケ
- 第278回 日本円のデジタル化が近づいてきた
- 第277回 仮想通貨取引所の破たんで起きたこと。「史上最大」の詐欺、FTX創業者に禁錮25年
- 第276回 時価1.5兆円の掲示板サイト「Reddit」のビジネスモデル
- 第275回 仮想通貨が通貨危機の引き金に!?
- 第274回 公取委、アマゾンとグーグルに睨み 巨大IT規制の動き、日米欧で相次ぐ
- 第273回 ビットコインが急騰した3つの理由
- 第272回 サイバー犯罪集団LockBit、手口はビジネスさながら “ランサムウェア・アズ・ア・サービス(RaaS)”で企業を脅迫
- この連載の一覧へ
