2015年6月1日、日本では年金を管理している日本年金機構からの個人情報漏えいが明らかになりました。アメリカでも税務をつかさどるIRS(アメリカ内国歳入庁)からのdata breach(情報漏えい)が毎年のように問題になっています。

IRS:アメリカ内国歳入庁

IRSは日本での国税庁と税務署が一緒になったような組織です。1998年の税務改革で再編されて今の形になっています。アメリカで税務書類を送ることをファイル(file)と呼びますが、ファイルをする方法には2つあって、電子申請と書類の直接送付する2つです。外国人でも電子申請できるかどうかはわかりません。J-1は日米租税条約の取り決めで米国内の収入が2年間無税になるtax treatyがあるため複雑です。

確定申告を行うときの送り先が複雑に分かれています。人口で割ったわけでもなさそうですし、せっかく再編したのならわかりやすくすればよいのにと、部外者的には思ってしまいます。

まず、追加の支払いを行う場合と、行わない場合で書類の送り方が違います。

追加の納税がある場合(宛名はInternal Revenue Service)

  • アラバマ州、ジョージア州、ケンタッキー州、ニュージャージー州、ノースカロライナ州、サウスカロライナ州、テネシー州、バージニア州
    • PO Box 931000 Louisville, KY 40293-1000
  • フロリダ州、ルイジアナ州、ミシシッピ州、テキサス州
    • PO Box 1214 Charlotte, NC 28201-1214
  • アラスカ州、アリゾナ州、カリフォルニア州、コロラド州、ハワイ州、アイダホ州、ニューメキシコ州、ネバダ州、オレゴン州、ユタ州、ワシントン州、ワイオミング州
    • PO Box 7704 San Francisco, CA 94120-7704
  • アーカンソー州、イリノイ州、インディアナ州、アイオワ州、カンザス州、ミシガン州、ミネソタ州、モンタナ州、ネブラスカ州、ノースダコタ州、オハイオ州、オクラホマ州、サウスダコタ州、ウィスコンシン州
    • PO Box 802501 Cincinnati, OH
  • コネチカット州、デラウェア州、コロンビア特別区(ワシントンDC)、メイン州、メリーランド州、マサチューセッツ州、ミズーリ州、ニューハンプシャー州、ニューヨーク州、ペンシルベニア州、ロード諸島、バーモント州、ウェストバージニア州
    • PO Box 37008 Hartford, CT 06176-7008

追加の納税がない場合(宛名はDepartment of the Treasury Internal Revenue Service)

  • アラバマ州、ジョージア州、ケンタッキー州、ニュージャージー州、ノースカロライナ州、サウスカロライナ州、テネシー州、バージニア州
  • コネチカット州、デラウェア州、コロンビア特別区(ワシントンDC)、メイン州、メリーランド州、マサチューセッツ州、ミズーリ州、ニューハンプシャー州、ニューヨーク州、ペンシルベニア州、ロード諸島、バーモント州、ウェストバージニア州
    • Kansas City, MO 64999-0002
  • フロリダ州、ルイジアナ州、ミシシッピ州、テキサス州
    • Austin, TX 73301-0002
  • アラスカ州、アリゾナ州、カリフォルニア州、コロラド州、ハワイ州、アイダホ州、ニューメキシコ州、ネバダ州、オレゴン州、ユタ州、ワシントン州、ワイオミング州
  • アーカンソー州、イリノイ州、インディアナ州、アイオワ州、カンザス州、ミシガン州、ミネソタ州、モンタナ州、ネブラスカ州、ノースダコタ州、オハイオ州、オクラホマ州、サウスダコタ州、ウィスコンシン州
    • Fresno, CA 93888-0002

国税とは別に州税があり、この分は申請先の州にある州税事務所に別に送ります。

 

税金還付!

日本の税金還付と根本的に違うのは、「還付金が普通郵便で送られてくる」のです。どうしてそうなった!と叫びたくなるのですが、普通郵便です。現金が入っているわけではなく、小切手が無造作に入れられています。送り主はちゃんと名前が書いてあるので、この時期に見かけたら間違いなく還付金が入った封筒です。

ひょっとしたら受け取り方を選べる可能性もなくはないですが、皆小切手で受け取っています。

 

税金の還付金どろぼう

アメリカの場合、ここに付け入る隙があるので今年も還付金の搾取詐欺が報じられています。以前の記事『確定申告ソフトTurbo Taxにハッキング』のハッカーは、電子申請を狙い、還付金の送り先住所を書き換えて送信することで還付金を騙し取っていました。

これとは別に、新たに明らかになった税金どろぼうの手口があります。手口の基本は、『確定申告ソフトTurbo Taxにハッキング』と同じですが、被害者の納税者を直接ハッキングしたわけではなく、別の情報漏えい事件で手に入れた個人情報を使って、偽の確定申告を作り上げるというものです。

The theft of more than 100,000 tax records from the IRS was clever.
The perpetrators used one crime to enable another. They appear to have gotten personal information -- addresses, Social Security numbers and dates of birth -- from another source and used that data to impersonate taxpayers and claim $50 million in refunds.
The data might have come from some hack, or the criminals may have bought it in the black markets where personal information for millions of people is available for purchase.
On the scale of security lapses, this wasn't enormous. In 2014, Target experienced a hack that affected over 100 million customers. In 2013, 850 million people had personal data stolen, according to one estimate.
Getting cybercrime under control is difficult.
出典:『IRS data theft not surprising』(CNN.com)

別に手に入れた。、住所、ソーシャルセキュリティナンバー(SSN、社会保障番号)、生年月日を使って、5000万ドル(約60億円)分の還付金を申請したのです。実際にどれだけが盗られたのか書いていませんのでわかりません。

記事『巨大保険会社から過去最大級の情報流出』などのように毎年に大型の個人情報漏洩がニュースになっています。社会保障番号(SSN)は、人に見られないように、カードを取られないようにと、いうことになっていますが、銀行口座開設やクレジットカードの取得、医療保険などだけなく、ローンを組むのにも必要です。さらに、電話を買うのにも要りますし、職場にも伝えないといけません。

これらのどこからの情報であっても、今回のような還付金どろぼうは可能です。そんなに簡単に確定申告の書類を作れるものなのか疑問ですが、答えになりそうな記事を見つけました。

The thieves accessed a system called “Get Transcript,” where taxpayers can get tax returns and other filings from previous years. In order to access the information, the thieves cleared a security screen that required prior knowledge about the taxpayer, including Social Security number, date of birth, tax filing status and street address, the IRS said.
“The multilayer process also requires an additional step, where applicants must correctly answer several personal identity verification questions that typically are only known by the taxpayer,” the IRS said in a statement.
The IRS said the data breach doesn’t involve its main computer system that handles tax-filing submission.
“That system remains secure,” it said.
出典:『Yip: IRS data breach reveals weaknesses』(the Dallas Morning News)

過去の税務書類を取り寄せるサービス”Get Transcript”を使ったという記事です。"Get Transcript"はIRSのサービスで、SSNなどの個人情報に加えて秘密の質問に答える必要があります。IRSのシステムはハッキングされていないらしいので、IRSに気づかれずに10万人分も秘密の質問に答えられるのか、疑わしい気がします。この記事の信憑性はわかりませんが、秘密の質問については、最近Googleが調査レポートを出しています。

「秘密の質問」が突破される確率は? Googleが調査

例えば米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられた。

 「最初のペットの名前は?」「好きな食べ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根本的な欠陥」があるという研究結果を米Googleが5月21日に発表した。
出典:『「秘密の質問」が突破される確率は? Googleが調査』(ITmediaエンタープライズ)

 

個人的に気になるのは、不正に申請された納税者の「本来の還付金」は還付されたのかどうか、なのですがそれについての情報は見つかりませんでした。

 

日本のマイナンバーは?

アメリカの社会保障番号(SSN)に似たシステムが日本でも2015年10月から順次導入されます。マイナンバーというもので、正式名称は「行政手続における特定の個人を識別するための番号」という何の飾り気もない名前です。

アメリカの社会保障番号と違って、日本に住民票があれば誰でも発行されます。逆に、日本に住民票がなければ発行されません。(参考記事『マイナンバー制度が始まりそう、困った』)

アメリカで起こっているような、直接的な還付金どろぼうはアメリカよりは起こりにくいような気がします。アメリカと違って、日本では普通郵便の中に現金(に近いもの)を入れて送って終わり、ということはあり得ないからです。

日本年金機構からの情報流出が問題になっていますが、直接的に年金を横取りされるようなことも、起こらないとは言えませんが、アメリカよりは安全そうです。ただし、CNN記事に書いてあったように、

Cybercrime is not going to go away any time soon.
The technologies we use aren't secure and will become even less secure when we move to the Internet of things. While the odds of being a victim are low, cybercriminals are nimble and inventive. We can make it harder for them, but not impossible. If the financial rewards are big enough, they will probably find a way to hack.
出典:前出CNN記事

対策を講じることはできても、利益がある限りハッキングする方法はそのうち見つかるでしょう。

それよりも、日本年金機構のように、

  1. 個人がインターネットにつないでいるコンピューターに、
  2. 重要書類を、
  3. 内規違反をしてコピーし、
  4. パスワードもかけずに、
  5. 機構から「ウイルスメールが今来ているから開くな」というメールが来ているのに、
  6. ウイルスメールを開いて感染させ、
  7. 個人情報を大量流出させる

などという言語道断な職員がいるようでは、情報流出はとまりません。

 

個人情報流出の補償

Yahooの個人情報転売のころから慣習になっている、個人情報一件500円、というのをまず何とかして欲しいです。これでは、流出させた場合に組織の信用が落ちるとはいっても、セキュリティを高めようというインセンティブが働かない気がします。

アメリカのようになっ手欲しいというわけではありませんが、手元にある2013年のTarget個人情報流出事件の集団訴訟の案内を見ると、最大10,000ドル(120万円)を取ることができると書いてあります。また、個人情報流出に対して準備されたお金は1000万ドル(12億円)だそうです。最大1億件強も流出しているので一人当たりにすると少ないのと、訴訟費用として弁護士が持っていくんでしょう?と言いたくなりますが。

August 2017
Mo Tu We Th Fr Sa Su
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3

ログイン(DISQUS/Facebook/Twitter/Google)なしでもコメントでき、その場合管理人の承認後表示されます。