全2142文字
PR

新型コロナ感染者管理システムが不正アクセスを受けていた疑いがある。厚生労働省は被害なしと判断したが、対策強化に追われたもようだ。政府が今後、システムの整備を進めていくうえでの課題を浮き彫りにした。

 新型コロナウイルス感染者らの情報を共有する政府システムに海外から不正アクセスされている疑いがあるとの情報が2020年8月に外部から寄せられ、厚労省がセキュリティー強化に追われていたことが日経コンピュータの取材で分かった。政府が整備して機微な個人情報を扱うシステムの運用や情報公開の在り方について教訓を残しそうだ。

 不正アクセスされている疑いがあるとの連絡があったのは「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」。医療機関が保健所に新型コロナ感染者の発生届をファクスで送っていた業務を効率化するため、厚労省が開発ベンダーに委託して米マイクロソフトのクラウドサービス「Azure」上に構築した。

「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」を説明する厚生労働省のWebページ(画像出所:厚生労働省)
「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」を説明する厚生労働省のWebページ(画像出所:厚生労働省)
[画像のクリックで拡大表示]

 外部から連絡があったときには、2020年5月末の稼働から3カ月ほどが経過していた。厚労省は真偽不明の情報としてベンダーにアクセスログなどの確認を求めたりシステムの脆弱性調査を実施したりした。この結果、アクセスログからは「不正アクセスのログ(痕跡)は見当たらず、具体的な被害はなかった」(厚労省関係者)と判断している。

 HER-SYSでは保健所や医療機関などがパソコンやタブレット端末からインターネット経由で発生届などのデータを入力、閲覧できる。ただしログインには2要素認証が必要だ。保健所や医療機関はIDやパスワードの入力に加えて、携帯電話のSMS(ショート・メッセージ・サービス)や電話で通知された暗証番号を入力する。しかし調査の結果、HER-SYSの一部機能はセキュリティーレベルが不十分だったと判明。厚労省は改修を急いだようだ。