マイナンバー端末管理に不備の自治体 検査院指摘

2020/1/15 17:10
保存
共有
印刷
その他

マイナンバーを含む個人情報を扱う自治体のセキュリティー対策について会計検査院が調べたところ、抽出調査した217市区町村のうち12の自治体で、本来必要な「2要素認証」を導入していない端末があったことなどが15日、分かった。他にも複数の自治体で運用に不備が見つかり、個人情報の管理に問題があるとして、検査院は総務省に改善を求めた。

検査院は情報流出など、情報セキュリティー上の事故は把握していないとした上で「サイバー攻撃の脅威は一層高まっている」と指摘、総務省に実態の把握と自治体への助言を求めた。対策に不備があった自治体名は「攻撃対象にされる恐れがある」との理由から明らかにしなかった。

総務省は2015年の年金情報流出を受け、自治体に対し、マイナンバーなどを扱う端末は原則としてインターネットから切り離し、職員がログインする際にパスワードやICカード、指紋認証などのうち2つの要素で本人確認する「2要素認証」の導入などを求めている。

検査院はセキュリティー対策の補助金を15~16年度に交付された1773自治体から抽出調査。そのうち2要素認証に関する調査の対象となった217市区町村の中で、12自治体がマイナンバーなどを取り扱う端末の一部に2要素認証を導入していなかった。12自治体のうち10自治体は導入予定がなく、総務省はこうした状況を把握していなかった。

調査を受け、8自治体は20年度末までに全端末への2要素認証の導入を終える。残りの2自治体は端末を入退室を管理する専用室などに置いていたという。

ICカードの読み取り失敗など、2要素認証が機能しなかった場合の代替手段に不備があった自治体も。27自治体は指紋やICカードなどが読み取れなかった際に利用するパスワードが複数職員で共有されるなど、権限のない職員でも個人情報にアクセスしやすい状態だった。本来は一時的なパスワードを発行するなどの仕組みが求められている。

また13の自治体では端末の一部に情報のコピーなどを制限する設定が導入されておらず、USBメモリーなどに情報を移せる状態だった。

総務省は「すでに全自治体に対して技術的助言を発出した。総務省としてもしっかりと支援していき、セキュリティー対策に万全を期したい」とコメントした。

保存
共有
印刷
その他

電子版トップ



[PR]