piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

マイナンバー法施行後初めての逮捕者が出たマイナンバー不正取得事案についてまとめてみた

2016年12月2日、警視庁は男性が勤務先上司のマイナンバーを不正に取得したとしてマイナンバー法違反の容疑で逮捕しました。男性は容疑を否認しています。ここではこの事案に係る情報をまとめます。

事案関連タイムライン

日時 出来事
2015年10月5日 マイナンバー法が施行
2016年2月26日 当時の勤務先で上司のPCに侵入し、マイナンバー通知カードが写った画像データをコピーした疑い
社内調査で男性の行為が発覚
2016年5月 男性が勤務先を退職
2016年6月 勤務先の会社が警視庁へ被害相談
2016年12月2日 警視庁が男性をマイナンバー法違反の容疑で逮捕。

事案に係る情報

容疑

  • 2016年2月26日夕方、男性の当時勤務先(渋谷区)において、社内のネットワークを通じ上司(役員)が利用するクラウド上のデータ保存サービスに接続し、上司がこのサービスに保管していたマイナンバー通知カードが写った画像データを男性が複製。男性が12桁の個人番号を不正に取得した疑い。*1
逮捕された男性
  • 東京都練馬区 25歳 男性
  • 男性は勤務先を2016年5月に退職している。
容疑の認否
  • 男性は容疑を否認している。*2
  • 画像データを取得した理由は「コンピューターウィルスが含まれていないかスキャンをするためであった」と供述している。
犯行動機
  • 報道によれば、勤務状況が厳しく男性が会社への不満から犯行に及んだものとみられている。*3

取得した画像を同僚と共有

  • 他の従業員2名と画像ファイルを共有した形跡が確認されている。
  • そのうち一人は私物のPCにも保存していた。
  • 男性は「1000枚ほど印刷して駅に貼ってやろうか」と社内連絡用のチャットに書き込む等していた。*4
  • 取得した画像データは社内のサイトに公開していた。
  • 取得した上司のマイナンバーが悪用されたかについても調べられているが現在のところ確認されていない。またこの同僚二人以外への流出も確認されていない。*5

不正アクセス行為を通じて画像を取得

  • 男性は社内のネットワークの保守管理を担当していた。
  • 会社のセキュリティシステムの不備を悪用し、上司のPCにアクセスしていた。
  • 特定のコードを打ち込むと管理者権限がなくとも各社員のPCに接続できる脆弱性が存在していた。*6

上司が通知カードを保管していた理由

  • 通知カードの撮影は上司が行っていたもの。
  • 源泉徴収票等の作成を目的として個人番号の提出の必要がある。上司はこの提出のために画像をデータ保存サービスに保管していた。
  • 社内ネットワークからもこのサービスには接続しており、業務用のPCからも操作ができた。

マイナンバー法違反での逮捕は全国初

(参考) マイナンバー法 第九章 第五十一条

第五十一条  人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取、施設への侵入、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。)その他の個人番号を保有する者の管理を害する行為により、個人番号を取得した者は、三年以下の懲役又は百五十万円以下の罰金に処する。
2  前項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。

更新履歴

  • 2016年12月4日 AM 新規作成