どんなに対策を講じても洩れ続ける機密――官公庁データベースから中国に流出する個人情報

20161017 17
多数の日本人たちがスパイの疑いで中国に拘束されてから、1年が過ぎた。『公安調査庁』のエージェント(協力者)とされる4名の他、『内閣情報調査室』のエージェントも10名以上が身柄を押さえられたまま、未だ解放されぬ状況にあると言われている。拘束されていた内の1人が今年5月に起訴されたものの、その容疑すら定かでないことや、それ以外の人たちの動向が一切、明らかにされていないこと、日本政府が全く動いていないことは大いに気になるが、抑々何故、こういったことが起こったのか、それもおざなりにできない。不思議なことに、何れもが中国入りした直後、未だ情報収集も碌に行っていない時点で、早くも公安当局に摘発されたというのである。一説には、「公安調査庁や内閣情報調査室のデータが中国によってハッキングされ、エージェントリストが漏れたからだ」とされる。拘束の事実が明らかになった昨秋以降、そんな説が流れた。それに対し、「“もぐら(潜入スパイ)”がいる」との説も流布された。その根拠として挙げられたのが、公安調査庁や内閣情報調査室の機密データの入っているコンピューターの設置状況だ。機密保持の為にスタンドアロン――即ち、外部との接続を断った環境下にあり、しっかりと保全されているというのである。従って、エージェントリスト等の機密が抜けるとしたら、それは内部の人間の手を通して以外にないという訳だ。だが、当の公安調査庁や内閣情報調査室は、何れの説も明確に否定した。「ハッキングの可能性はあり得ない」とする一方で、「抑々、エージェントリスト等の集中管理はしていない。リスト自体が無い以上、それを持ち出す人間もいない」と言うのだった。それらの証言が事実とするならば、どうしてエージェントらは即刻、拘束されてしまったのか。

謎が深まる中、あらぬ方向から由々しき証言が寄せられた。「大多数の日本人の個人情報が中国に漏れ、肥握されています。入国時点で直ぐに身元確認ができてしまうほど、深刻な状況にあるのです」。そう語ったのは、日本有数のIT企業でシステム設計等を行っているA氏だ。同社の顧客には、国民の各種情報を有している官公庁は勿論、銀行・生命保険会社・損害保険会社・クレジット会社、果てはコンビニチェーン等も含まれているという。その業務を前提に、A氏はこう言うのだった。「我が社の顧客だけに限っても、その気になってデータを悪用しようと思えば、住所・氏名・年齡・生年月日・電話番号に始まり、パスポートナンバー・指紋・虹彩といった生体認証データ、更には銀行口座番号やその取引内容、乗っている車やナンバープレート、おまけに健康状態等のセンシティブ情報や買い物データ等まで容易に把握でき、それらを氏名によって名寄せ、或いはマイナンバーを使って統合すれば、情報面において個々人を丸裸にできてしまうのです。これを政府規模で行い、公安部でデータべース化して使っているのが中国です。だから、日本人エージェントらは直ぐに正体がバレて、捕まってしまった。入国管理局のデータとリンクさせておけば、入国時点でどんな人物か容易に判別がつきます。後は当局が尾行して、適当な時間・場所で身柄を拘束するだけです」。A氏によると、日本人は“総丸裸”状態にあるという。だが何故、中国がそんなことをできるのか。情報管理の厳しい昨今、しかも情報管理のプロと言うべきIT企業から容易く情報を抜くことなどできないのではないか。しかし、A氏は「簡単にできる」と断言する。そして、これまた意外な事実を明かしたのである。「実は、我が社も嘗て、人件費の安い中国で現地法人を作り、そこでデータ入力等を委託しました。オフショアと名付けられ、業界全体に広く浸透しているやり方ですが、中国にデータが抜ける仕組みはここにあるのです」。そう言ってA氏は、作業がどんな風に行われるのかを詳細に説明し始めた。例えば、生命保険会社の場合は、こんな具合だという。現地法人では、中国人たちが、日本からPDFファイル等の形で送られてきた手書きの保険の申込書を前に、氏名(漢字と仮名)・住所・生年月日・年齢・電話番号・携帯電話番号・職業・役職・配偶者や子供の氏名・銀行口座・クレジットカード情報・身長・体重・既往症・病歴・手術歴・通院歴…と1文字1文字、パソコンに打ち込んでいく。そして、1日の作業が終了すると、そのデータをホストコンピューターに保存し、翌日の作業に備える。記憶媒体等の外部接続機器は使用不可能となっているからだ。

翌日は個人認証等を経て、改めてホストコンピューターにアクセスして、続きの作業を再開する。つまり、入力データは持ち出せないような仕組みを取っているというのだ。また、作業段階においても、申込書を1枚ずつ分けるなり、途中で分割するなりして、担当者が個人情報を集約できないような工夫もしていると説明するのである。「ところが…」とA氏は言う。「実際は、現地法人を監督している中国政府にとって、こんなものは障壁とさえ呼べない程度のものなのです。それというのも、セキュリティー管理者に接触すれば、ホストコンピューターへのアクセスは容易にでき、更に、ここに入っているデータを加工することも可能だからです。名寄せは勿論、他の会社、或いは日本政府の別のデータと統合することも、あっという間にできてしまいます。管理者が協力する以上、一連の作業の形跡等も一切残らないように消去してしまうことも、不可能ではありません。同じような理由から、監視カメラ等を設置していても意味がありません」。A氏によれば、クレジットカード会社の場合も、申込書等の入力方法は同様だという。その結果、氏名・住所・年齢・生年月日・電話番号・勤務先・年収・取引銀行名・口座番号・クレジットカードの暗証番号さえ漏れてしまっているというのだ。更に、「銀行も郵貯もコンビニ等も、それから地方自治体や官公庁までも、オフショアを採用している大手IT企業の現地法人を通して同じような被害に遭っています」と、その危険性を指摘するのである。「問題はデータ入力だけに止まらない」と言って、A氏は続ける。「例えば、データ管理の為のシステム設計や管理・運用等も行っています。BPO(Business Process Outsourcing)と呼ばれることもある外部委託の1つで、勿論、セキュリティーの観点から全体を任せず分割して委託することもままありますが、分割されている場合ですらも、それらのパートにバックドア(不正アクセス機能)等をこっそり設けておけば、システムが稼働するようになってから管理データをハッキングすることも容易にできてしまうのです」。何とも空恐ろしいことだが、実はこうした危険性があることは、20年以上前にわかっていたという。だから、A氏の会社は直ぐにオフショアを取り止めにした。と同時に、業界にも働きかけた。「情報漏洩の観点から、オフショアは自主規制すべきだ」と。また、クライアントの企業――生命保険会社・損害保険会社・クレジットカード会社等に対しても、「国外に情報を出してしまっていいか」「割高でも国内でやってはどうか」等と持ちかけもした。が、業界もクライアント側も殆どの会社が利益を優先。安い労働力を選んでしまったというのだ。

20161017 16
「政府に危機感が無いことも問題だ」と、A氏は危惧の念を抱く。政府調達――官公庁の入札も価格重視で決められ、情報保全の観点は黙殺されてしまっているのだという。「安価な入札をしたメーカーが、オフショア方式でデータ入力やデータ管理システムの設計等を行い、今も尚それが続いているのだ」と嘆く。「事態を深刻に見た我々は、マスコミにも接触しました。『オフショアの実態が公になれば、流石に皆、知らん顔はできない筈だ』と思ってのことです。が、マスコミも業界やクライアント企業との広告の関係があるせいか、中々取り上げてくれません」。そうした中、『アリコジャパン』(現在の『メットライフ生命』)の顧客情報漏洩事件が発生してしまったのだという。中国でのシステム管理委託会社から膨大な個人情報が漏れ、クレジットカードが不正に使用される被害が続発した。2009年のことだ。 この事件は、おかしな経緯を辿った。アリコジャパンは当初、「顧客情報の管理システムは直接外部と接続されていないし、情報を記憶謀体に移すことも原則的に禁止されている」として、「本来はあり得ないことが起きた」と強調し、外部からの不正アクセスや、社員による不正な持ち出しを暗に臭わせた。また、被害数についても、顧客情報が最大11万件、クレジットカード被害が1000件としていた。だが、僅か数ヵ月のうちに、漏洩情報の量も被害の数もあっという間に膨れ上がり、訂正を迫られた。「顧客情報は最大23万件に、被害件数は5000件を超える」と発表せざるを得なくなり、顧客の不信感を募らせたのだった。また、情報の漏洩についても、「システム設計を委託した中国企業の社員が、アメリカに置かれたアリコジャパンのホストコンピューターに接続して抜き取ったものとみられる」と修正した。つまり、バックドアによるハッキングだ。A氏が危惧していた通りのことが表面に現れた事件だった訳である。これに対し、事件捜査に当たっていた捜査関係者が当時、首を傾げていたのを、筆者はよく覚えている。「情報漏洩が明らかになった当初から、その原因から被害発生に至るまでのこと全てが大方予測できた筈なのに、どうしてこんな発表をしてしまったのか。抑々、委託先の企業は、中国政府からサイバー戦での訓練が施された軍関係者が派遣されている会社であり、その下請けに入ったのも、サイバー教育を受けた面々で構成される北朝鮮系企業であることは、最初からわかっていた筈だ…」。捜査関係者はそう漏らした後、事件の構図をズバリ明かしたのである。「中国企業の社員は政府に言われて、個人情報を抜き取って政府に渡す一方、下請けの北朝鮮系企業に小遣い稼ぎで売りつけた。すると、情報を買った北朝鮮系企業はクレジットカード情報を不正に利用して、インターネット販売で高価な電気製品や商品券等を買い、換金して外貨獲得の手段とした。国際的な監視が厳しく、外貨収入の乏しい北朝鮮にとっては、非常に有難い財源となった筈。これが全体構造です」。

何故、アリコジャパンがこういった中国企業にシステム開発を依頼したのか、今も尚定かではない。ひょっとすると、A氏が指摘するように安価であったからかもしれないが、ともあれ、この件で同社は、金融庁から業務改善命令の行政処分を受けた。「個人情報を厳格に保持すべき保険会社からの情報漏洩は異例」との判断に基づく厳しいものであった。また、国内でクレジットカードを不正使用した者に限っては、後に警視庁に逮捕された。しかし、実行犯は未だ捕まらず、中国でのことは全て有耶無耶のまま、今日に至っている。「データをハッキングされた日本企業は、他にも数々あります。トヨタや日産といった自動車メーカーは勿論、東芝やシャープといったIT系の企業もあるほどです。また、未だ顕在化していないものの、実は相当量のデータが中国の餌食となっていると見られる会社があります。NTTデータのことですが、生命保険会社や銀行を始め、官公庁からも幅広く受注しており、しかもそれらをオフショアで行っているのです。官公庁からの受注には、マイナンバーや税務申告に関するものも含まれているだけに、中国側のデータが更に充実してしまったのではないかと懸念を深めています」(A氏)。名指しされた『NTTデータ』について調べてみた。すると、同社がオフショアをフル活用しており、データ入力については「国内限定のやり方もある」としながらも、「国内入力と比べコストを3~5割程度削減。約1000人の専門オペレータ体制と最大6段階のチェック工程などにより、処理の高速化や高品質化・高セキュリティといった幅広いニーズに応えます」とPRしていた。また、システム設計や運用についても、「中国各地に製造拠点を持ち、長年お客様のオフショア開発をお手伝いしてきました。数百名体制の大規模プロジェクトから、数名体制の小規模プロジェクト、オープン系から汎用機、組み込み系までありとあらゆるタイプのプロジェクトに応じることが可能です」としている。その上で、次のようなシステムを手掛けていることも明らかになった。

【官公庁】
・e-Tax(国税電子申告・納税システム)
・住民基本台帳ネットワークシステム
・社会保険オンラインシステム(全国の年金事務所・社会保険事務所を結ぶネットワークシステム)
・厚生労働省と公共職業安定所、労働基準監督署等を結ぶネットワークシステム


20161017 15
因みに、『全国銀行データ通信システム』・『日本銀行金融ネットワークシステム』・『都銀キャッシュサービス』・『郵便貯金システム』・『東京証券取引所情報系システム統合基盤』等も請け負っていることも判明した。情報流出の危険性のある政府調達に、他にはどんな会社が関わっているかについても調べてみたところ、左表に記したようなことがわかった。そして、その各社を精査すると、NTTデータと同様、全ての社がオフショアと称して、中国にシステム開発等を委託していることも判明した。其々について簡単に触れておくと――。『富士通』は、来年度を目途に中国の比率を7割に下げるというが、「国内でシステム技術者の不足感がでてきており、オフショア開発を拡大することで開発費を抑える』との方針に変わりはない。『沖電気』は、中国オフショア部門として、『沖電気軟件技術有限公司』という現地法人を設けている。『NEC』は、中国現地法人の『NEC軟件』に『青島開発センター』を発足させ、人員を増員。「漢字文化層のため日本向け対応力が高い」としている。『東芝ソリューション』は、大連に大規模な開発拠点を持つ『Neusoft』と提携。日本の3分の1程度にコストを抑え、受注に励んでいるとされる。『日立製作所』は、『日立咨詢(日立コンサルティングチャイナ)』等のグループ会社や、パートナー企業を通してオフショアを展開している。つまり、全社が中国で入力なりシステム設計や開発なりをしているということであり、その結果、個人情報に加え、官僚の人事情報や特許情報、更には軍事・装備情報までもが危険に曝されている状況だと言えるのである。A氏は、こうした点を踏まえつつ、当初の問題に立ち返って、こんな指摘をした。「日本人の拘束の件ですが、いくらエージェントが身分を偽装しようとも、どこから金銭の振り込みがあるのかわかれば、正体は直ぐにバレてしまいます。或いは逆に、公安調査庁や内閣情報調査室の振り込み先をチェックしてもいいでしょう。何れにしても、日本のエージェントが拘束された背景には、こうした情報漏洩があると思われます」。日本人拘束を端緒に、中国への由々しき情報漏洩の構図が図らずも浮き彫りにされた形だが、NTTデータを始め、各社にはあまり危機感は無いようだ。其々に対して、中国へのオフショアの危険性と今後の予定等を尋ねたところ、回答のあった会社は全て、「過去にトラブルは無く、情報漏洩対策も講じており、今後も活用予定だ」と言うのである。

尤も、沖電気が回答を“辞退”、東芝ソリューションと日立製作所の2社からは期限を過ぎても連絡すら無かったことからすると、あまり触れられたくない側面もあるのかもしれない。因みに、情報漏洩の予防策について、回答は以下の通りだ。「高いセキュリティー基準を設けています。例を挙げますと、テールゲート(※他の人に連れ添って入室)できないセキュリティーゲート設置、防犯カメラの設置、シンクライアント端末(※取扱い情報最小化)、UBS(外部接続メモリー)利用制限といったハード面でのセキュリティー対策を行っています。また、データ入力業務においては、同一人物が全ての情報を把握できないようなセキュリティー対策を設けることで、個人情報等の情報流出予防に努めている」(NTTデータ)、「定期的に情報セキュリティー監査、情報セキュリティー教育を行っています」(富士通)、「製品出荷前の最終的な品質検査は、当社側で行っております。【中略】お客様データの入力は委託しておりません」(NEC)。しかし、「破れないセキュリティーなど存在しない」というのがIT業界の常識でもある。こうした状況に対し、国会議員時代には危機管理政策に精通し、現在は国際経済交流の観点も加味して活動している『国際経済交流協会』の米田建三会長は、諸外国の情報管理体制に触れながら、こう語った。「個人情報の取り扱いに規制をかけていない国は実質上、殆ど無い。アメリカは勿論、国を挙げてハッキングに注力している中国も、機微に触れる情報の国外持ち出しは禁止・規制しているし、お隣の韓国も規制方向にある。また、オーストラリアやギリシャでは既にそうなっている。抑々、各国にはスパイ罪を始めとした情報漏洩に対する厳格な罰則を伴う法律もある。要するに、『国内に保管せよ』と言っているのが世界の趨勢だ」。米田氏は、新たに罰則まで設けて情報保全に努めようとしているインドの例も挙げ、更に続けた。「インドでは、国民・政府・企業に関するデータの国外持ち出しを禁止し、違反した場合は刑事罰を科すことを検討している。ところが、我が国ときたら殆ど野放し状態だ。安全保障や防衛に関わる調達については『国内優先にしていい』と言いながらも、実際はオフショアの形で中国に出すのを容認しているのは問題だ。また、金融・医療・保険等、個人情報の取り扱いが多い業界についても、セキュリティーの確保に努めている等と空念仏のように唱えているが、万全な対策など取れる筈がない。早急な法の整備が望まれる」。法律が整ってさえいれば、ひょっとすると、日本人たちは拘束されずに済んだのかもしれない。ともあれ、情報の保全は急務である。仮に、既に多くの情報が洩れていたとしても、決して今からでも遅くはない。 (取材・文/フリージャーナリスト 時任兼作)


キャプチャ  2016年7月号掲載

スポンサーサイト

テーマ : 中朝韓ニュース
ジャンル : ニュース

轮廓

George Clooney

Author:George Clooney

最新文章
档案
分类
计数器
排名

FC2Blog Ranking

广告
搜索
RSS链接
链接
QR码
QR