サイバー攻撃で丸裸にされたアサヒ…人海戦術で乗り切ろうとする企業体質と被害から日本企業から学ぶべきこと

（出所）Qilin blog　（マスキングは筆者による）

　マイナンバーカード情報は企業にとって社会保険の手続きや源泉徴収票を作成する際に不可欠なものだが、マイナンバーカードの画像情報は、保管してはならないとされている。「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律（通称マイナンバー法）」の「第19条　特定個人情報の提供の制限」には、「特定個人情報（マイナンバーを含む個人情報）は、法令で定める場合を除き、第三者に提供してはならない」とあり、マイナンバーカードをコピーやスキャンして、画像として保管することは、特定個人情報を不必要に取得・保存する行為と見なされ、第19条に違反する行為だ。

　第19条を受けて、個人情報保護委員会のガイドラインでは、第3-2(2)「本人確認の際の留意事項」として「マイナンバーの確認のために個人番号カードを提示させることはできるが、カードの写しを保存してはならない」としている。これに反した場合は、不正に特定個人情報を取得・提供した場合に該当し、懲役４年以下または罰金200万円以下に処されることがある。

　コンプライアンスが徹底されていないことを示す一つの事例といえるだろう。

　マイナンバーカードの画像データを個人に提出させ、そのまま保存しているという企業も多いと思われるが、最悪、罰則が課される事象だということを肝に銘じたい。

社内サーバーの私的利用

　もう一つの例は、エクセルで作成した家計簿のようなものが漏えいしていることだ。収入の部として夫婦共稼ぎの月々の手取り収入とボーナスが１月から12月まで記載され、支出の部には光熱費や保育料、住宅ローンやお小遣いまでびっしりと数字が書き込まれている表が漏えいしている。家計のシミュレーションしたものと思われるが、これは明らかに従業員個人の私的データだろう。

　会社が貸与したPCか自身のPC（BYOD）かは定かではないが、会社のサーバーを私的なデータストレージに使用している例だ。企業体質を表しているといわれても仕方ない。

　今回のデータ流出事件がなければ気づかない事象だが、コンプライアンス以前の問題として指摘しておきたい。

ウイルス感染に備えたドメイン制御の見直しを

　世の中はDXがブームとなっており、システムの統合化が進んでいる。今回の事件は、そのDXの進歩に見合ったセキュリティ対策が行われていないことを示す事例といえるだろう。

　ランサムウェアの感染原因となる偽メール（フィッシングメール）は、生成AIの普及によりますます巧妙になっているといわれる。偽のメールも開封されることを前提とする必要がある。

　もっとも効果的なのはマイクロセグメンテーション（ドメイン分割）技術を用いてドメインを分割し、ランサムウェアの感染を極小化することだが、Qilinの場合は、手動展開型ランサムウェア（Human-operated Ransomware）と呼ばれ、手動で操作して展開させるため、マイクロセグメンテーションを行っていることを把握され、許可されたポート経由で侵入されることもありうる。

　DXに見合ったドメイン制御の設計を見直しておく必要がある。