AcraのBizfileポータルで発生したNRIC番号漏洩の原因と指摘された6つの問題点

　2024年12月、シンガポールの会計法人監督庁（Acra）のBizfileポータルにおいて、主要な企業代表者らの完全なNRIC番号が大量に公開された問題について、調査パネルが2025年3月3日に報告書を発表した。
 
　調査の結果、デジタル発展・情報省（MDDI）およびAcraによる意図的な違反は認められなかったが、複数の不備が指摘された。主な問題点は以下の6点である。
 

MDDIの指示が不明瞭

　MDDIは2024年7月に政府機関向けにNRIC番号の認証利用を終了する方針を通知したが、その指示が不明確だった。特に、「マスクされたNRIC番号」の使用を即時中止するよう求めた一方で、既存システムにおける取り扱いについての説明が不足していた。
 

Acra内での情報共有不足

　MDDIの方針に関する説明会に参加したAcraの職員2名が、その内容を組織内で十分に共有しなかった。特に「部分的なNRIC番号の使用停止が、必ずしも完全なNRIC番号の表示を意味しない」点が伝達されていなかった。
 

MDDIの複雑な用途への配慮不足

　公共データベースなどの特殊なケースに対するガイドラインが不足していた。BizfileのPeople Search機能が「新規用途」ではなく「既存用途」であることを明確にせず、適切な指導を行わなかった。
 

Acraのリスク評価の甘さ

　AcraはBizfileの設計において、企業情報の確認を重視するあまり、個人情報保護の観点が欠落していた。また、検索機能の設計を適切に見直さなかったため、NRIC番号が容易に取得可能な状態となった。
 

Bizfileのセキュリティ機能の不足

　2024年12月9日のBizfile公開時、セキュリティ機能が不十分であった。特に、大量のデータ収集を防ぐためのCAPTCHA機能が設定されておらず、12月9日から13日の間に通常の約166倍にあたる50万件以上の検索が行われた。
 

公衆とのコミュニケーション不足

　AcraとMDDIは、問題が発覚した12月12日時点で、速やかにPeople Search機能を停止し、事実関係を公表するべきだった。しかし、対応が遅れ、誤解が広がった。政府は当初から「部分的なNRIC番号の使用廃止＝完全なNRIC番号の公開」ではないことを明確に伝えるべきだった。
 
　報告書は、今回の事件を教訓に、政府機関間の情報共有とリスク評価の徹底、適切なセキュリティ対策、迅速な公衆対応を求めている。