米国内国歳入庁の個人情報保護作戦

米国内国際入庁(IRS)の個人情報の保護作戦

 我が国社会保険庁の個人情報の保護のずさんさが指摘されており、近々日本国民に通知されることになっているマイナンバー制度への危惧が出始めているが、それは文字通りの本末転倒でしょう。行政当局、ひいては国民にとっても有用で、効率的なマイナンバー制度の有効活用と、個人データの保護とは、全く別問題なのです。全てのメリットにはリスクが伴うものです。

 

そこで、今回は、早くからマイナンバー制度を導入している米国での、大々的な個人情報の窃盗とそれの不正使用による不正還付申告の実情を、米国のIRS長官が議会で報告しているので、仮訳してみました。個人情報を管理する機関・組織(官民を問わず)の情報管理の徹底を願いたいものです。

 

納税者データへの不正アクセスに関する上院財政委員会でのコスキネン内国歳入庁長官の書面による証言

出典:http://www.finance.senate.gov/imo/media/doc/2015FINAL%20JAK%20testimony%20SFC%20060215%20on%20GT.pdf

 201562

会長ハッチ、ランキングメンバーワイデンと委員会のメンバーは、IRSの「トランスクリプトを取得」オンラインアプリケーションを介して、納税者データを取得する最近の不正アクセスに関する情報を提供するために、今日、あなたがたの前にお示しする機会をありがとうございました。

私たちは何が起こったかの私たちの詳細な分析を継続しているが、分析は、これまでのGetトランスクリプトアプリケーションから情報を要求する権限のない者によるアクセスは、その性質上、複雑で洗練されたものであることを発見しました。 これらのアクセスは、すでにIRS外部ソースから取得した納税者の個人情報を使用して行われその試みを行った当事者がGETトランスクリプトアプリケーションのマルチステップ認証プロセスをクリアするのに十分な情報を持っていたことを意味します。

今のところ、私たちの最大の懸念は、影響を受けた納税者が将来的に不正行為から保護されることを確認することです。 我々は、これらの納税者のために、状況の深刻さを認識し、我々は彼らを助けるために、我々はできる限りのことを行っています。

我々のシステムを確保し、納税者の情報を保護することは、IRSのための最優先事項です。 でも私たちの制約資源と2010年以降合計12億ドルの予算をカットした結果として、我々はこの課題に多くの時間と注意を捧げることを続けています。 同時に、犯罪者が、個人情報の収集を、情報源がIRSの外に広げた結果、個人情報の量を多く集めることができたことは明らかで、そのことが、納税者保護を著しく挑戦的で困難にしているのです。

 税金還付詐欺を犯すためにIRS以外から盗まれた個人情報の問題は、2010年から2012年爆発し、一時は、法執行機関とIRSを圧倒しました。 それ以来、私たちは両方の不正還付請求から保護し、この犯罪に従事する者を起訴するという点で、着実に進展しています。 過去数年間、ほぼ2,000人は、個人情報の盗難に関連する還付詐欺に関連して有罪判決を受けました。 個人情報の盗難に関連する税金還付詐欺の平均懲役は、2013年度の38ヶ月から会計年度(年度)2014年の43ヶ月まで増加しまし、最長の判決は27年でした。

 当社の処理フィルタが改善しているようにまた、我々はまた、むしろ、処理のためにそれらを受け入れるよりも、入り口でより多くの不審なリターンを停止することができました。 この過去のファイリングシーズンは、私たちの詐欺フィルタは、それらを処理する前に、前の年の70万から、約300万件もの不正なリターンを停止しました。 しかし、我々はこれらの犯罪を犯す個人を止めさせるのに努力しながらも、私たちは組織犯罪シンジケートを国内外で処理し続けているのです。

同時に、過去数年間で、IRSは、私たちはより簡単かつ容易にそれらの相互作用をするために、より多くのWebベースのツールを提供することで、セルフサービスおよび電子サービスオプションについては、納税者の増大する需要を満たすために取り組んできました。 その努力の一環として、私たちは月2014年に取得しトランスクリプトオンラインアプリケーションを立ち上げたトランスクリプトは、納税者がほんの数分で、また、転写産物として知られ、その前年の税情報のコピーを表示および印刷することができます。 このオンラインツールの導入以前では、納税者はメールで紙転写物を受け取るために、電話またはメールでご注文後57日を待たなければなりませんでした。 納税者は、住宅ローンや学生ローンを申請する際の所得を確認するなどの財務活動の様々な税務転写産物情報を使用しています。

 

トランスクリプトを取得しアクセスするには、納税者は、金融サービス業界の多くの組織とどうように、自分のアイデンティティを証明するために多段階認証プロセスを通過しなければなりません。 彼らは、まず、自分の社会保障番号(SSN)、生年月日、納税申告状況、ホームアドレス、ならびに電子メールアドレスなどの個人情報を提出しなければなりません。 納税者は、その後、彼らがアプリケーションにアクセスするために入力して、トランスクリプトを要求確認コードを含む取得トランスクリプトシステムから電子メールを受信します。 要求が処理される前に、納税者は、いくつかの「アウト·オブ·ウォレット」の質問に応答しなければならない金融サービス業界内の標準である顧客認証方法を。 質問は、それらの毎月の住宅ローンや車の支払い額のような、納税者だけが通常知ってそうな情報を引き出すように設計されています。

2015ファイリングシーズン中、納税者が正常に彼らの最近提出した税務情報の約23百万枚を入手するために、Getのトランスクリプト·アプリケーションを使用していました。 このアプリケーションが無かったとしたら、これらの納税者は、転写物を注文するお電話または書き込みしなければならないとしたら、それはさらに私たちの限られた資源を乱用させたであろう。 つまり、過去の申告シーズン中に私たちの限界を考えると、注意することが重要です。 我々は、はるかに少ない効率的な納税者サービスの提供となったであろうし、納税者に課される追加負担は言うまでもありません。

 5月の中旬に、私達のサイバーセキュリティチームは、Getのトランスクリプト·アプリケーションに異常な活動に気づきました。最初は、私たちのチームは、これはハッカーがWebサイトの正常な機能を破壊するサービス拒否攻撃、かもしれないと思いました。 私たちのチームは、その数日後には、状況をより深く見るために積極的に取り組み、最終的に取得のトランスクリプト·アプリケーションにアクセスするための疑わしい試みを明らかにしました。

 その結果、IRSは5月21Getトランスクリプトのアプリケーションをシャットダウンしました。IRSが変更を行い、さらにアプリケーションのセキュリティを強化するまで、アプリケーションは無効のままになります。 これは税のアカウント情報を取得するために、これらの不正な試みをした第三者は、税務申告の提出を処理する主なIRSのコンピュータシステムへのアクセスを試みていなかったことに留意すべきです。 メインIRSのコンピュータシステムは、以下のような他のオンラインIRSのアプリケーションがそうであるように「どこ払い戻しだ?」、セキュアなままトランスクリプトを取得とは異なり、他のオンラインアプリケーションは、納税者が自分の個人的な税のデータにアクセスすることはできません。

彼らが調査を続けているように、私たちのチームは、Getトランスクリプトの適用に関する納税者の情報へのアクセスを得るために約20万不審な試みの合計が2月中旬と5月中旬の間に行われていたと判断しました。 10万の試みは、当事者が所定の位置に保護を介して自分の道を動作するようにこれらの試みができない作りで、成功しませんでした。

 しかし、我々は、他の10万件程度が成功した中旬2月と月中旬の間に取得するトランスクリプト·アプリケーションから情報を要求しようとしていることを知っています。 私たちは、Getトランスクリプト·アプリケーションを使用して得られた、どちらかと言えば、これらの納税者の個人情報を用いて行ったものを分析し、次のことを発見しました:

 

  • 35,000の納税者は、アクセスでの不正の前に、彼らの2014年の所得税申告書を提出していました。 これはその後、自分の名前で提出された不正なリターンが自動的に当社のシステムによって拒否されることになるので、これらの納税者2014還付金返還請求は、この不正行為による影響を受けなかったことを意味します。

    別の33,000の場合、2015年に提出された何らかのリターンの記録はありません。これは多くの理由によるケースである可能性があります。 例え

    ば、これらの個人に関連付けられているSSNは、子供、または納税申告限度額以下のように、申告義務を負っていない人に属するものである可

   能性があります。 

  • 失敗した試みは、約23,500の申告書に対しておこなわれました。 これらの23,500リターンは私達の詐欺フィルタによってフラグ設定され、払い戻しが発行される前に、当庁の処理システムによって停止されました。 そして
  • この活動が発生したため、約13,000容疑リターンはIRSが払い戻しを発行するための2014課税年度に申告されました。 これらの13,000の疑わしい還付申請の払い戻しは約3900万ドルにのぼり、平均還付金は1申告書あたり約3000ドルでした。 我々は、依然として、実際の納税者によって提起されたものと盗まれたアイデンティティを使用して提出されたものの件数を確定しつつあります。 私たちは、自分の名前で申告された不正なリターンを持って影響を受けた納税者の全てについて作業しています。

 

冒頭で述べたように、我々の分析は、これまでのGETトランスクリプトアプリケーションを使用しての情報への不正アクセスは、性質上複雑で洗練されたものであることがわかりました。 これらの試みは、すでにIRSの外部ソースから取得した個人情報を使用して行われたの試みを行う当事者がアウト·オブ·ウォレットの質問に対する回答を含む、GETトランスクリプトアプリケーションのマルチステップ認証プロセスをクリアするのに十分な情報を持っていたことを意味します。

我々は、それは税の転写物にアクセスするための試みのいくつかは、来年に詐欺税務申告を提出する情報を使用する方向に目をむけて行われる可能性があると考えています。 例えば、任意の犯罪者が得る前年の申告書の情報は、それらをより簡単に、より困難な私たちのフィルタが申告書の不正な性質を検出できるようにすることをより困難にしながら、一見本物のリターンをもっと容易にするのに役立つだろう。

我々はすでに無効のGetトランスクリプトを持っているので、上述したように、私たちの最大の懸念は、今、影響を受けている納税者のために、彼らが将来的に不正行為から保護されていることを確かなものとすることです。 我々は、これらの納税者のために、状況の深刻さを認識し、それらに対して犯した可能性があります不正行為から自分のデータを保護する際に影響を受けた納税者を支援する多くの直接のステップをとっています。 現在および将来の年にまず、自分の名前で納税申告書を提出から誰かを防ぐために、当庁のコア税勘定システムのほぼ20万影響を受けた納税者の口座に識別印をつけています。

第二に、我々は彼らが第三者がIRSからの税情報を取得しようとする試みには、そのような自分のSSNなどの個人情報へのIRS外部からのアクセスを得たように見えることを知っているように、すべての20万納税者への書面の作成過程にあります。 この情報を取得しようとしていた人たちは、認証テストに失敗したため、このグループの半分は実際に彼らのトランスクリプトにアクセスしていませんでしたが、IRSは、それが他の誰かが自分の個人データを持っていることを、これらの納税者に認識させることが重要であると考えています。 我々は、彼らのデータを保護するための措置をとることができるようにしたいです。

 文書はすでにその税務情報正常に権限のない第三者によって得られた約10万の納税者のすべてに送信されてきました。 私たちは、納税者のこのグループには、当庁の費用で、クレジット·モニタリングを提供しています。 私たちは強く、このオファーを活用するには、この手紙を受け取る人を奨励します。 また、彼らにID保護個人識別番号(IP PIN)を得るために必要な認証のマニュアルをご提供する機会を与えています。 これにより、自分のIRSのアカウントを保護し、彼らは、将来のリターンを提出するすべての問題を回避するのに役立ちます。

 さらなる分析が行われているように、我々はそのような納税者の配偶者や扶養などの他人の個人情報が、既に同定されたことを示す証拠を発見することができる、また、侵害された、と私たちはそれらの個人を保護するために同様の措置を講じます。

 より広範に、IRSは、個人情報の盗難の被害者となっている納税者を助けるための作業を続けています。 例えば、2015年ファイリングシーズンに向けて、IRSは、以前に個人情報の盗難の被害者としてIRSによって識別された150万人の納税者へのIP PINを発行しています。 また、この期間中に、IRSは、彼らがIRS.govを訪問し、IP PINプログラムにオプトインする資格があったことを別の170万の納税者に通知しました。 一方、フロリダ州、ジョージア州とワシントンD.C – アイデンティティ盗難関連の還付詐欺の特に高い集中があった3つの地域が –.に住んでいる納税者は、IRSが、個人情報の盗難の被害者として、それらを特定しているかどうかに関係なく、要求に応じてIP PINを受け取ることができるパイロットに参加する資格があります。

 個人情報の盗難に関する我々の調査の仕事の面では、それは私たちの犯罪捜査(CI)部門は組織犯罪シンジケートによって犯されている個人情報の盗難犯罪の増加を見ていることに注意することが重要です。 IRSは、これらの犯罪者を起訴し、納税者を保護するために、米国および世界中の法執行機関と緊密に連携しています。 しかし、実際には、何百万人もの人々のデータのかなりのボリュームへのアクセスと、これらのサイバー犯罪者はますます洗練された敵であることに変わりはありません。

そのため、私たちは最近、税務ソフト、給与産業や州税の管理者のリーダーと着席会議を開催し、過去の我々の協調的努力の上に構築し、個人情報の盗難との戦いを助けるこの官民パートナーシップを活用するための新しい方法を見つけることに合意しました。 この会議から構成されたワーキンググループが会合を継続してきており、今月後半に、私たちは今後の納税申告のシーズンに個人情報をもっと良く保護するための、および我が国の税制の整合性を保護する長期の努力の作業を続けるための短期的な解決策に関する合意を発表したいと思います。

 この会議から構成された三つのワーキンググループの一つは、認証に焦点を当てています。 犯罪者がより多くの個人情報を取得しているので、認証プロトコルは、かっては個人にのみ知られていたのが現在では、多くの場合、さまざまなソースから犯罪組織に容易に入手可能な情報を越えて移動しながら、より高度化する必要があります。 我々は合法的に自分のデータにアクセスし、オンラインIRSのサービスを利用する納税者の能力と出来るだけ強い認証プロセスとのバランスを取る必要があります。 その挑戦は、この分野での我々の敵に、一歩先には行けないとしても、常に追いつくことなのでしょう。

議会はここで果たすべき重要な役割を持っていますがあります。 議会は、具体的には個人情報の盗難や還付詐欺のための1.01億ドル、と追加の重要な情報技術インフラストラクチャの1.88億ドルを含んでいる大統領の2016年度予算要求を、承認することによって助けることができます。 十分な資金を提供するとともに、議員が大統領の2016年度予算案では、いくつかの重要な法案を通過させることにより還付詐欺や個人情報の盗難との戦いにIRSを助けることができます。 このリスト上の最重要項目は、情報申告の日付を早める提案です。

 フォームW-2は、社会保険庁(SSA)に2月の末日までに提出しなければならないが、現在の法律では、フォーム10991098を含むほとんどの情報申告書が、情報が報告されている年の翌年の228日までに、IRSに提出しなければなりません。 リターンが電子的に提出された場合、IRSまたはSSAでの情報申告期限は、一般的に331日まで延長されます。 予算案は、これらの情報申告書が、この情報のコピーを納税者に提供されている場合、一般的に情報が報告され年の翌年の131日までに提出されることを要求しており、それは詐欺的なリターンを識別し、個人情報の盗難に関連する還付詐欺を減らす際のIRSを助けるでしょう。

 個人情報の盗難に対抗するための努力でIRSを支援する政権の2016年度予算には、W-2s上の従業員のSSNの部分をマスクすることを雇用者に要求するか、またはそれを認めるための権限を財務省とIRSに与え、それはアイデンティティの泥棒が社会保険番号を盗むことをより困難にするでしょう、また、現行法の下で適用されるものよりも長い懲役に税金関連の個人情報の盗難犯罪者に科し、刑事訴追に関連して使用することができる追加の執行ツールを提供するために、税関連の個人情報の盗難のケースについて内国歳入に5000ドルの民事罰を加えることを含む、多くの他の法案があります。

 ハッチ委員長、ランキングメンバーワイデンと委員会の委員の皆様、IRSGetTranscriptを通じての納税者のデータの取得するための最近の不正に関する情報を提供する機会を与えて頂いたことに対して、改めて感謝申し上げます。 これをもって私のご説明を終了し、質問をお受けします。

                                                     以上

お知らせ

トピックス/コラム記事

opinion(中辛、激辛)

続き物・物語

Page Top