2015年 10月 24日

マイナンバー(個人番号)を記した「通知カード」は、10月中旬から順次住民票に記載されている住所へ、簡易書留で送付されるそうだ。ところが、まだ各世帯に配達されないうちから個人番号が漏洩したというから驚きだ。
ニュースによると、茨城県取手市は、10月13日、自動交付機で発行した69世帯100人分の住民票に、共通番号(マイナンバー)制度の個人番号を誤って記載していたことを発表した。
原因は、市の委託業者が10月3日に住民基本台帳システムと自動交付機の切り替え作業を行った際、誤って番号を記載する設定にしてしまったからだという。また市の方も、切り替え作業後の確認を怠っていたそうだ。単純な作業ミスと、作業後の確認漏れだ。
マイナンバー制度がスタートして初めてのインシデントは、標的型攻撃などのサイバー犯罪ではなく、悪意を持った内部の者による犯行でもなく、単純な作業ミスだったわけである。
記事には詳細が書かれていないのではっきりとは分からないが、システム移行における障害ともとれるので、システム屋としてはいろいろ気になるところだ。
簡単な移行作業であっても、移行手順書と、移行後の確認テストのスペックを作成するのは基本であろう。
移行手順書は作成したのだろうか?
だれがそれをレビューして承認したのだろうか?
確認テストの仕様書はあったのだろうか?
テスト仕様書はあったが、コストを削減するためにテストの実施を省いたのだろうか?
憶測でモノを言ってはいけないが、基本を忠実に守っていれば防げたのではないか・・・・と考えてしまう。

このインシデントが報道された翌日にはもっと大きなニュースが報道されていた。
マイナンバーに関連する収賄容疑で厚労省の官僚が逮捕されたというニュースである。この厚労省官僚は、厚労省のシステム設計や開発にかかわる調査業務2件を受注できるよう取り計らった見返りとして、この案件を受注した会社から現金を受け取った疑いがあるという。
いまのところ判明しているのは、容疑者はITに精通しており(省内でITに詳しい人間は少ないらしい)、発注にかかわった2件の業務契約で業者選定に権限を持っていたほか、本来は国が準備する仕様書を、受注した会社に作らせていたということである。
この案件を受注した会社は、自らが作成したRFP(提案要請書)に対して、自らが提案していたことになる。
この種の贈収賄事件は決して目新しいものではないが、マイナンバーの運用開始直後で国民の関心が高まってきたこともあって、大きく報じられた。
RFPの作成を外部に委託するということ自体は決して珍しいことではない。民間企業のシステム案件でも、RFPの作成や、RFPを作成するための助言などを外部企業に依頼(作業委託)することはよくある。ただし、RFPを作成した事業者は提案には参加できないとするのが一般的である。これは、自社に有利な特殊なスペックをRFPに潜り込ませないようにするためでもある。
RFPを作成する段階で難しいのは、仕様(スペック)と予算との関係である。
どこまでのスペックなら予算内に収まりそうかを「見積る能力」が必要になるからだ。また、提案する側も、RFPで要求されているスペックに対して必要な金額を(適正なリスクや利益を含めて)出来る限り精度高く見積もらなければ提案競争には勝てない。
一般に調査企画段階の見積で使われるのは「類推法」や「積み上げ法」である。
類推法とは、過去の類似プロジェクトの実績をベースに見積もる方法である。同じ業種の類似システムの経験、実績がある場合には高い精度で見積もることが出来るが、業種知識や類似システムの知識、経験がない場合は見積り精度に欠ける(見積リスクが大きくなる)。
積み上げ法とは、プロジェクトの成果物の構成要素を洗い出し、それぞれに必要な工数を見積もって積み上げていく方法である。
こちらも類似プロジェクトの実績データがないと高い精度で見積もることは困難である。

マイナンバー制度は、通知カードの配布が始まったばかりで、運用が本格化するのは来年1月以降である。
サイバー攻撃という観点では、今年(2015年)6月に長野県上田市で庁内LANのPCが標的型攻撃にあい、インターネット接続の遮断や、住基ネットからの切り離しを余儀なくされるインシデントが発生している。
自治体や企業にとって、来年の運用本格化を見据えたセキュリティ対策は頭の痛い課題である。
なお、その後の報道によれば、希望していないのに住民票にマイナンバーが記載される例は、10月22日までに計8自治体で見つかったというから、この制度は前途多難だ。

Update

2015年10月
« 9月   11月 »
 1234
567891011
12131415161718
19202122232425
262728293031  

Navigation