アカウント名:
パスワード:
メモに書かれたパスワードを使うだけで閲覧できる仕様自体がおかしいんじゃないすかね。
ウチの会社ですら、個人情報や資産情報とかは定期的に更新される各個人のICカードと定期的に更新されるパスワードを使わないとアクセスできないようになっているし、アクセスログもどこぞにたまってるはず。住民基本台帳システムって、まさかその辺の民間工場以下のセキュリティなんすかね。
アクセスする個人の資格情報によって閲覧できる範囲が縛られているのも普通だと思うけど、もしかしたらそういう制限も無いのかな。#名前と年齢程度なら比較的低いレベルの資格でも閲覧できそうだけど。
ICカード自体は存在しています。個人に1枚ではなく部署の管理者だけに渡されているので、いちいち保管するのが煩わしいためおそらく端末のリーダに差しっぱなしだったのでしょう。
パスワードは端末とICカードの両方で別々のパスワードが設定されているはずですが、端末側は利用者側で設定するはずなのでおそらく定期的な更新はされていないでしょう。ICカードのパスワードの定期的な更新は1年に一度しかありません。
アクセスログは記録されていて、毎年都道府県の監査で適性な利用だったかチェックされます。その際に資料等の提示を求められますのでおそらく挙証資料がなかったために発覚したのでしょう。
-- 某自治体の中の人なのでACで
その仕組みは住民基本台帳ネットワークの方でしょ?今回のは、どう見ても秋田市の内部住民基本台帳システムと税システムで起こった事件なんだから、そこでICカードが使用されているかどうかは分からない。
他のコメントでも指摘されているけど、住民基本台帳ネットワーク≠住民基本台帳システム。
いい加減、記事のタイトルを直して注釈を付けてよ。>hylom氏それと、秋田魁新報もさっさと誤報を訂正しろよ。
# 某自治体のセキュリティ担当職員なのでAC。
その時間に投稿していてお仕事大丈夫でしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
閲覧した人は懲戒免職、メモった人は諭旨免職(但し退職金無し) (スコア:2)
# 民間企業ならば、両人とも懲戒解雇(+将来の損害賠償訴訟の被告)になっても不思議ではないかと。甘ちゃんな所だと、とーぜんお咎め無しだが。
Re: (スコア:2, 参考になる)
メモに書かれたパスワードを使うだけで閲覧できる仕様自体がおかしいんじゃないすかね。
ウチの会社ですら、個人情報や資産情報とかは定期的に更新される各個人のICカードと定期的に更新されるパスワードを使わないとアクセスできないようになっているし、アクセスログもどこぞにたまってるはず。
住民基本台帳システムって、まさかその辺の民間工場以下のセキュリティなんすかね。
アクセスする個人の資格情報によって閲覧できる範囲が縛られているのも普通だと思うけど、もしかしたらそういう制限も無いのかな。
#名前と年齢程度なら比較的低いレベルの資格でも閲覧できそうだけど。
Re: (スコア:1, 参考になる)
ICカード自体は存在しています。個人に1枚ではなく部署の管理者だけに渡されているので、いちいち保管するのが煩わしいためおそらく端末のリーダに差しっぱなしだったのでしょう。
パスワードは端末とICカードの両方で別々のパスワードが設定されているはずですが、端末側は利用者側で設定するはずなのでおそらく定期的な更新はされていないでしょう。ICカードのパスワードの定期的な更新は1年に一度しかありません。
アクセスログは記録されていて、毎年都道府県の監査で適性な利用だったかチェックされます。その際に資料等の提示を求められますのでおそらく挙証資料がなかったために発覚したのでしょう。
--
某自治体の中の人なのでACで
Re: (スコア:1, 参考になる)
その仕組みは住民基本台帳ネットワークの方でしょ?
今回のは、どう見ても秋田市の内部住民基本台帳システムと税システムで起こった事件なんだから、そこでICカードが使用されているかどうかは分からない。
他のコメントでも指摘されているけど、住民基本台帳ネットワーク≠住民基本台帳システム。
いい加減、記事のタイトルを直して注釈を付けてよ。>hylom氏
それと、秋田魁新報もさっさと誤報を訂正しろよ。
# 某自治体のセキュリティ担当職員なのでAC。
Re:閲覧した人は懲戒免職、メモった人は諭旨免職(但し退職金無し) (スコア:0)
その時間に投稿していてお仕事大丈夫でしょうか?