日本年金機構の個人情報漏洩事件について

昨日、ニュースで日本年金機構が何者かからサイバー攻撃を受け、氏名や基礎年金番号など約125万件の個人情報が漏えいしたことについて報道していたのをみました。
行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー法」といいます。)施行を前に、大きな問題点が露出した事件ではあります。

事件の詳細は新聞等でご確認いただくとして、国家機関に準ずる機関が極めてザルなセキュリティ体制しか持ち合わせていないことを端的に示した事例だと思います。
報道では、電子メールの添付ファイルを開いたためウィルスに感染し、データを取られたとあります。
今時添付ファイルを開いて感染というのは、一定規模の組織としてあり得ない失態といえるでしょう。

本ケースでは、本来であれば最低限これくらいは行われていなければならないはずというリスク管理がまったく為されていなかったようです。
つまり、
1.メール等の閲覧と年金のデータベースに接続されるPCとは別にしておかなければならない
2.不用意に添付ファイルをクリックしないように教育を徹底しなければならない
3.そもそも添付ファイルは全て送受信できないようにするべき
4.セキュリティソフトを導入し、常にウィルス情報を最新の状態にしておかなくてはならない
5.作業中の全ての個人情報にアクセス制限をかけておかなければならない
6.定期的に監査を行わなければならない
これらがまったく行われていなかったらしいということです。

1が行われていれば、データを抜き取られるということはなかったでしょう。
2や3が行われていれば、添付ファイルを不用意にクリックする愚行は避けられたものと思います。
複数名ファイルを開けたということは、教育はされていなかったということです。
4を行っていれば、ほとんどのウィルスを検知できます。
5を行っていれば、漏洩による被害が若干減るかもしれません。
6を行っていれば、少なくとも2のようなことは指摘できます。

公的機関から業務を委託されている機関であれば、3月や4月は監査に丁度いい時期でしょう。
しかも4月は新入社員が入ってくる時期で、あわせて全社員に教育するにも良いタイミングです。
そこから2ヶ月で事件が発生したということは、これらは行われていなかったと考えて良いでしょう。

プレスリリースが比較的スムーズに出たのは評価しても良さそうです。
また、すぐにプレスリリースや対応策が出てきたところをみると、責任者やある程度の体制は存在するものと思われます。

とはいえ、年金受け取りは出来ないから安心という考え方は非情に問題があります。
年金の受取額の確認や振込銀行の調査、振り込め詐欺のデータベース作成等に利用される危険性は極めて高いですし、高齢者ビジネスのデータベースにも最適で、それだけでも価値があることを認識すべきでしょう。
問題は年金授受だけではないのです。

こうやって見ると、何というか、東海村JCO臨界事故事件のようなずさんさですね。
隠さなかっただけマシというレベルだと思います。
マイナンバー法が施行されていたら、初の適用事件として何人かは刑務所行きというところでしょう。
正直ネタとして狙ったのではないかという疑念すら湧くくらいの規模とタイミングです。

これらを是正するのは、もの凄い労力が必要でしょう。
大体において、よほどのことをしない限りまた同じことをするからです。
最低でも第三者機関による外部監査は必須で、PMS(個人情報マネジメントシステム)も導入すべきです。
マイナンバー法やガイドラインにはそこまでの要求はありませんが、これくらいは最低限やらなければ是正はできません。
個人的には、反省無し、システム導入に反対する勢力あり、適切な第三者を選定できず、等々の理由により、再発する確率が極めて高いと予想しています。

関連記事