［160］不正アクセスに狙われる独立行政法人の情報開示を考える

2008.10.29

　前回は，電子政府の根幹を成す「パブリック・コメント」における個人情報保護について取り上げた。

　ちょうど2008年10月20日から26日までは「電子政府利用促進週間」だった。個人情報保護に関わりの深い分野では，第130回で触れた少年非行対策に関連して，改正出会い系サイト規制法（2008年5月に国会で可決成立）の事業者に対する処分基準案について意見募集が実施されている（「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律の一部を改正する法律に関し国家公安委員会が定める処分基準案に対する意見の募集について」参照）。個人情報の取り扱いについて，前回取り上げた「『青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律施行令（案）』に対する意見募集」の反省が生かされていることを期待したい。

　さて今回は，独立行政法人を取り上げてみたい。

SQLインジェクションの標的になった石油ガス機構サイト

　独立行政法人石油天然ガス・金属鉱物資源機構（JOGMEC）は2008年9月4日，同機構の公開サーバーに不正侵入されてホームページが改ざんされたことが判明した，と発表した（「JOGMEC公開サーバーに対する不正侵入とホームページの改ざんについて」参照）。JOGMECは，直ちに公開サーバーで提供していた外部サービスを停止し，セキュリティ対策専門会社と共同で調査を開始した。

　10月10日の発表によると，2008年7月27日夜，JOGMECサイトの法人文書ファイル検索サービスのサーバーに，SQLインジェクションによる不正侵入が行われた。その後，同様の手口で，バーチャル金属資源情報センターのデータベース検索サービスサイト，英文問い合わせサービスサイト，休廃止鉱山情報検索サービスサイトの各サーバーでプログラムの改ざんが行われた（「JOGMEC公開サーバーに対する不正侵入とホームページの改ざんについて（続報）」参照）。

　SQLインジェクションとは，Webアプリケーションとデータベースをつなぐプログラムの脆弱性を突いた不正アクセス手法である。第8回，第20回で取り上げたように，電子商取引（EC）サイトの個人情報漏えいの原因として取り上げられることが多かった。

　JOGMECのケースでは，データベース検索サービスおよび休廃止鉱山情報検索サービスのサイトへアクセスして検索サービスを利用したユーザーのパソコンが，コンピュータウイルスに感染した恐れがあるという。このため，JOGMECはこれらのサービスを利用したユーザーに対して，ウイルス対策ソフトによる検知，駆除を呼びかけている。

踏み台の標的になりやすい独立行政法人の課題は情報開示

　以前，第112回で，「独立行政法人等の保有する個人情報の保護に関する法律」の適用を受ける横浜国立大学や佐賀大学のサーバーが，不正アクセスによってフィッシング行為の踏み台にされた事例を取り上げたことがある。JOGMECのように，公的性格の強い独立行政法人で特に注意しなければならないのは，不正アクセスやプログラムの改ざんにより，踏み台の標的として狙われるリスクが高い点だ。しかも，不正アクセス元や二次被害先として海外が絡むケースが多い。国内のみならず，海外を念頭に置いた情報開示による二次被害・類似被害の防止対策が求められている。

　しかしながら，独立行政法人の対応状況を見ると，情報開示への取り組みが進んでいるとは必ずしも言えないような結果が出ている。例えば，総務省が2008年8月29日に公表した「平成19年度における行政機関・独立行政法人等の情報公開法及び個人情報保護法の施行状況調査の概要」で，漏えい等事案への対応状況を見ると，漏えいが発生した行政機関で「事案の公表」を実施したところが76.1％なのに対し，独立行政法人等では15.7％にとどまっている。

　ちなみに平成19年度調査結果で，個人情報漏えい等事案の発生元についてみると，行政機関では，職員（90.6％）が庁舎内（79.7％）で発生させたケースが多い。これに対し，独立行政法人等では，委託先の従事者（61.3％）が委託元庁舎外（60.6％）で発生させたケースが多い。外部委託先に起因する情報漏えいであっても，委託元の独立行政法人に個人情報保護の一義的責任がある点は変わらないが，事案公表率の低さは気になるところだ。

　SQLインジェクションによる被害は年々顕在化しているが，サーバー運用管理を外部任せにしている独立行政法人は多い。他のサイトへの攻撃の踏み台として独立行政法人のサーバーが悪用された場合，どのような情報開示体制をとるべきか，外部委託管理を含めて標準的な施策を検討すべき時に来ている。

　次回は，人事関連情報の漏えい防止対策について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/