fbpx

お知らせ

評判をひどく落とした日本年金機構から学ぶこと

日本年金機構は2015年6月1日、外部からのサイバー攻撃により年金の受給者や加入者の基礎年金番号、氏名などの個人情報の流出を発表、警視庁は不正アクセス禁止法違反容疑の疑いで捜査をしています。

流出したのは基礎年金番号と氏名が約3万件、番号と氏名と生年月日が約166万7000件、番号・氏名・生年月日・住所は約5万2000件。

日本の公的機関で起きた情報流出事件の中で過去最大規模であるとされ、公的機関の情報管理に対する国民の不信感は高まり、評判はガタ落ち。

評判のガタ落ちは以後に実行しようとする施策に支障をきたします。

1ヶ月後の2015年10月からは行政が税と社会保障、災害関連の個人情報を番号で結びつけて効率的に管理するため、国民一人一人に番号を割り当てるマイナンバー制度の個人番号の通知が始まり、来年1月からはマイナンバー制度が開始されますが、公的機関への不信が高まる中ではたしてうまく施行できるのかどうか。

評判が地に堕ち、信用がおけないという雰囲気が高まる中で、このマイナンバー制度を実施するのは抵抗があるのが当然でしょう。

このように評判を損なっている中で何か新しいことを始めるのは、世間に対しても社内に対しても、その新しいことだけではない新たな抵抗を生むため、必要以上の困難を伴います。

評判をひどく落とした日本年金機構から学ぶこと

日本年金機構の情報流出は、職員の端末に学術機関を装った差出人から電子メールが届けられて、セミナーの案内状と称したウイルスを仕込んだ文書ファイルが添付されていたことから引き起こされました。このファイルを開封した2人の職員の端末がウイルスに感染し、端末をつなぐLANシステム内の共有サーバーに保管されていた基礎年金番号などの情報が、ファイルごと抜き取られたとみられています。

このサイバー攻撃は標的型メールと呼ばれる方法で、特定の相手にウイルス付きのメールを送りつけて情報を盗み取るサイバー攻撃の典型的な手法のひとつでした。年金機構は、サイバー攻撃を受けた際の対応マニュアルが2012年から更新されていませんでした。

すでに標的型メールは2011年ごろから衆参両院や防衛関係機関、三菱重工などを狙って送り付けられたことが発覚しています。そのため、内閣のサイバーセキュリティーセンターは、中央省庁や特殊法人などを対象に標的型メールへの対応訓練を実施しています。

厚生労働省はこの訓練に参加していますが、日本年金機構は参加していません。機構の幹部らは、独自の訓練を含めて、こうしたサイバー攻撃への訓練を一度も行っていないことを認めており、年々進化している標的型メールを使ったサイバー攻撃への訓練が不十分だったと言わざるを得ないでしょう。

こうしたサイバー攻撃よりも以前から日本年金機構は管理のずさんさが指摘されており、2007年には誰の基礎年金番号でもない持ち主不明の年金記録が約5100万件あることが判明しており、2015年になっても約2000万件が未解明のままになっています。このずさんさは今回の事件の被害を拡大した面があります。

年金機構は警視庁から不正アクセスを指摘された翌日から本部と全拠点でネット接続を遮断するとしていましたが、その後も職員たちがインターネットに接続したメールでやり取りをしており、自覚がないと厳しく注意を受けており、こうした点を見ても、職員への意識の改善が必要なことは言うまでもないでしょうし、サイバー攻撃への防御意識の低さが情報流出を招いたと言われても仕方がないですね。

ここまで簡単に振り返ってみても、今回の日本年金機構の情報流出については大半の人が「なにをやっているんだ」という罵詈雑言を吐くでしょう。実際、そう言われるだけの無数のミスを繰り返した結果、前代未聞の情報流出に至った。

ただし、今までの情報流出事件では企業や団体が漏えいの事実を隠ぺいすることが多く、実態が分からないことが多かったわけですが、今回の情報流出事件は国内サーバーにデータファイルが残っており、流出ルートが把握できた非常に珍しい事例でした。

つまり、なにゆえこのような失態が演じられたのかが細かく検証できる最大で唯一の事件でもあったわけです。それはすなわち今後に生かせる教訓を残したともいえるわけです。

大半の人が「なにをやっているんだ」という愚かな事件ではありましたが、実際皆さんの社内を見て、日本年金機構と同じことが起こっていないでしょうか。

  • 準備するべきことをせず、更新すべきをせず、不用意にメールを開封し、情報共有フォルダに個人情報を置いていないでしょうか?
  • 危機を察知するシステム監査はあるでしょうか?
  • 危機を察知した後に対処に動ける緊急チームがあるのか?
  • 会社全体でどのような情報共有が行われ、責任者は誰なのか?

これらすべてに即座に答えられるなら、日本年金機構のような失態をあなたの企業は起こす可能性はなく、安泰でしょう。

しかし、これらの質問に答えられないとすれば、あなたの組織も日本年金機構と同じようにここぞという場面でことごとくミスを犯し、失態を演じるでしょう。日本年金機構の問題は即、私たちが所属する企業の問題でもあるのです。

すでに書いたように幸い今回の情報流出事件では、なにが起こったのか、なにが問題だったのかが白日の下にさらされました。先日、3つの報告書が公開されました。

書いてあることはだいたい似たようなことです。情報セキュリティ体制の脆弱性、情報連携、情報の一括管理の不備、情報保護に対する認識不足、システム監査の機能不全、現場に対するガバナンスの不十分性……etc

みなさんの組織が日本年金機構のような失態を犯さず、評判を落とさないためにぜひ読んでいただきたい。学ぶことはたくさんあります。

日本年金機構を悪しざまにいうのは自由です。しかし、詳細な報告書も読まずにこの教訓を自分のものとして生かさないものは、今回日本年金機構の職員がしたことと同じ轍を踏むことになるでしょう。

今回の詳細な3つの報告書でも「職員の認識不足」というのは指摘されている点ですが、「認識を徹底しよう」といくら掛け声をかけても無意味です。それくらいならこれらの報告書を読んでもらうほうが「認識の徹底」につながるのではないでしょうか。

関連記事

ページ上部へ戻る