今回は、自治体が運営する給付申請サイトで発生した個人情報漏えい事案を取り上げます。申請手続き中に別人のマイページが表示されるという典型的なシステム連携不具合が原因で、氏名や住所などの個人情報や本人確認書類の画像が第三者に見えてしまったという内容です。リスナーの皆さんには原因の技術的な整理と初動対応、再発防止のポイントを具体的に伝え、同様のサービスを運用する際に注意すべき設計と運用の観点を理解していただきます。
兵庫県は10月23日、「はばタンPay+」子育て応援枠の申込受付での個人情報漏えいについて発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
本件は申請が完了した際に情報を保管する通常のサーバと、無効な二重申請などのエラー情報を保管するエラー用サーバの連携不具合が原因です。無効な申請を行った利用者の完了画面に表示されるマイページボタンのURLが誤って別人のマイページを指しており、結果として最大で17件の申請から最大34名分の氏名、住所、生年月日、性別、電話番号、メールアドレス、さらにマイナンバーカードや受給者証、母子手帳の画像まで閲覧可能になったと報告されています。初動対応としては影響が確認された利用者に対して電話とメールで謝罪と報告を行い、画像が残っている場合は削除依頼を実施しています。再発防止策としては原因の解消と修正後の徹底したテストを行い、問題がないことを確認してから申込受付を再開する方針となっています。システム設計上の分離やアクセス制御、URL生成の安全性確認が改めて重要であることを示す事例です。
質疑応答
そもそも今回のように別人のマイページが表示されるというのは、どういう技術的なミスで起きるのでしょうか?
一般的にはセッション管理やURLに含める識別子の扱いに問題があります。今回の事例ではエラー用サーバと通常サーバが生成するマイページのURLやトークンを正しく分離していなかったため、無効申請の完了画面に誤った識別子が埋め込まれました。識別子が推測可能だったり、アクセス権確認が不十分だと他人の情報が参照可能になります。対策はトークンの使い捨て化とサーバ間での厳格なアクセス権検証、そしてURLに個人情報を含めない設計を徹底することです。
被害を受けた人への影響はどの程度深刻になる可能性がありますか?
漏えいした情報の組み合わせによっては個人の重篤な被害につながる恐れがあります。氏名と住所、電話番号が揃えばなりすましや詐欺のリスクが高まりますし、本人確認書類の画像が含まれていると身分詐称や金融手続きでの悪用のリスクが増します。被害が限定的でも心理的な負担や信用失墜が生じます。自治体側は速やかに影響範囲の特定、個別通知、必要ならばクレジットモニタリングや相談窓口の設置を検討すべきです。
こうした漏えいはどのように検知すれば良いのでしょうか?運用での注意点はありますか?
まずはアクセスログのモニタリングと異常検知が重要です。短時間に同一端末から複数の異なるマイページが参照された場合や、通常のワークフローと異なるレスポンスコードの頻発などはアラート対象になります。またテスト環境と本番環境のログやデータ隔離を徹底し、定期的なペネトレーションテストとコードレビューで意図しないURL生成やセッションフローの不備を洗い出すことが有効です。運用面では問い合わせ対応の手順を整備し、確認された場合の一次対応を迅速に行える体制が必要です。
根本対策として開発側で具体的にどんな設計変更をすると安全になりますか?
まずは認可設計を見直し、サーバ間で利用するトークンは短命で署名付きにすることが望ましいです。URLに連番や容易に推測できる識別子を使わず、アクセスの際にはサーバ側で必ずログイン状態と紐付け確認を行うことが必須です。さらにエラー用のフローでも実際のユーザーデータを参照せずエラーメッセージだけを返す設計にするなど、エラー状態でも個人情報が露出しないように分離を徹底することが重要です。デプロイ前に統合テストを必須化してください。
最後に自治体などが情報公開を行うときのポイントは何でしょうか?
透明性と迅速性の両立が重要です。影響範囲や漏えいした情報の項目、初動対応の内容と今後の再発防止策をできるだけ具体的に公表する必要があります。同時に被害者への個別連絡方法と相談窓口の設置、二次被害防止のための注意喚起も行ってください。原因調査中の点は適時更新し、技術的な説明は平易な言葉で示すことが信頼回復につながります。
まとめ
今回は申請サイトのサーバ連携不具合で別人のマイページが表示され、氏名や住所、本人確認書類の画像まで漏えいする可能性があったということが分かりました。運用と設計の両面でトークン管理やアクセス制御、ログ監視と迅速な通知体制を整えることが重要ですね。また一つ、勉強になりました!
