全2059文字
新型コロナウイルス感染者らの情報を共有する政府システムに海外から不正アクセスされている疑いがあるとの情報が2020年8月に外部から寄せられ、厚生労働省がセキュリティー強化に追われていたことが日経クロステックの取材で分かった。政府が整備して機微な個人情報を扱うシステムの運用や情報公開の在り方について教訓を残しそうだ。
海外から不正アクセスされている疑いがあるとの連絡があったのは「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」。医療機関が保健所に新型コロナ感染者の発生届をファクスで送っていた業務を効率化するため、厚労省が開発ベンダーに委託して米Microsoft(マイクロソフト)のクラウドサービス「Azure(アジュール)」上に構築した。
「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」を説明する厚生労働省のWebページ
(出所:厚生労働省)
[画像のクリックで拡大表示]
外部から連絡があったときには、2020年5月末の稼働から3カ月ほどが経過していた。厚労省は真偽不明の情報としてベンダーにアクセスログなどの確認を求めたりシステムの脆弱性調査を実施したりした。この結果、アクセスログからは「不正アクセスのログ(痕跡)は見当たらず、具体的な被害はなかった」(厚労省関係者)と判断している。
HER-SYSでは保健所や医療機関などがパソコンやタブレット端末からインターネット経由で発生届などのデータを入力、閲覧できる。ただしHER-SYSへのログインには2要素認証が必要だ。保健所や医療機関はIDやパスワードの入力に加えて、携帯電話のSMS(ショートメッセージサービス)や電話で通知された暗証番号を入力する。しかし調査の結果、HER-SYSの一部機能はセキュリティーレベルが不十分だったと判明。厚労省は改修を急いだようだ。
