なぜ?日本年金機構の個人情報流出
日本年金機構は1日、職員の端末がサイバー攻撃を受け、個人情報約125万件が外部に流出したと発表した。(中略)流出したのは(1)基礎年金番号と氏名が約3万1000件(2)番号、氏名、生年月日が約116万7000件(3)番号、氏名、生年月日、住所が約5万2000件。さらに件数が増える可能性もあるという。
日本年金機構から125万件の個人情報が流出したという、衝撃的なニュースが話題になっています。
しかし、その原因はなんともお粗末なものでした。
なぜ流出したのか
同機構によると、電子メールの添付ファイルを開封したことで端末がウイルスに感染し、不正アクセスを受けた。情報流出は5月28日に判明。基幹システムである社会保険オンラインシステムへの不正アクセスは今のところ確認されていないが、さらに調査を進めている。
非常に突っ込みどころが多いのですが、簡潔に指摘したいのは以下の三点です。
- 今時「メールに添付されたウィルスを開く」という、古典的な感染方法
まず一番の突っ込みどころは、メールに添付されたウィルスを開いたという衝撃的な事実でしょう。今時、こんな方法でウィルスに感染するのは、俄かには信じがたいです。セキュリティ対策やネットリテラシーが、一切存在していないかのようです。
- 「職員の端末がサイバー攻撃を受けた」という発表
そして、職員が初歩的なミスを「やらかした」のが原因であるにも関わらず「サイバー攻撃を受けた」と発表したのは、責任転嫁に他ならず、正直に言ってお笑いです。
- 簡単にデータを外部に持ち出せる環境での、杜撰な個人情報管理
勿論、人間なのだからミスをするのは仕方がありません。だからこそ、ヒューマンエラーを無くすための仕組みは作ることができるはずです。
ネットに繋がった職員の端末で個人情報を扱っているのは、管理が杜撰だというしかないでしょう。なぜ、メールの送受信と個人情報を管理するのが同じ端末なのか、理解できません。
(6月2日追記)
YAHOOニュースの記事が更新され、より詳細な経緯が書かれています。
外部のセキュリティー会社に対策を依頼したが、他にも開封した職員がいたとみられ、18日に再び不正アクセスを検知。
同機構の内規では、個人情報を含むデータを端末に保存する際、パスワードを設定し外部閲覧を制限することになっていた。しかし、約55万件はパスワードが未設定で、内規違反の状態だった。
開いた口が塞がりません、本当に何とかして欲しいですね。
個人情報とマイナンバー
個人情報といえば、「マイナンバー制度」開始を目前に控えた状況での、今回の不祥事でした。2016年から導入予定のマイナンバー制度ですが、実際に番号が私たちに通知されるのは2015年の10月です。
この制度は一つの共通番号で、税務・年金・保険などの多くの機関で社会保障に関する情報を管理できるのが利点です。しかし、一生変わることのない一つの番号に情報が集中するということは、情報流出の際にリスクが高まるのもまた事実です。
他の機関が万全に管理をしていても、今回のように一つの機関がマイナンバーを流出させてしまえば、全ての情報が流出するも同然だからです。
個人的にマイナンバー制度は歓迎していますが、少し先行きが不安ですね。
こうした個々の意識と根本的な管理システムを改善しない限り、何度でも流出は繰り返します。日本年金機構に限らず、私たち一人ひとりも、個人情報を扱う際にそれを念頭に置かなければなりません。