kaidaten's blog

kaidaten's blog~書評ノート~

日経新聞の要約や書評を中心にエントリーしてましたが、最近はざっくばらんにやってます。

改めて振り返る日本年金機構の個人情報流出のあり得なさ

f:id:kaidaten:20160319135542j:plain

日本年金機構個人情報流出は本当にありえないミス

お決まりの日経新聞社説シリーズ。

 

しかし、今回は熱の入り方がいつもと少し違う。私の現職にも大きく関係する話だからだ。

 

今回は、8月25日の社説「年金機構と厚労省は責任と緊張感を」を題材に、日本年金機構の情報漏えいの”あり得なさ”について解説しようと思う。

 

 

 

個人情報流出の報告書

日本年金機構から125万件に及ぶ個人情報が流出した問題について、2つの調査報告書が相次いでまとまった。

 

機構自身によるものと、厚生労働省が設けた第三者委員会がまとめたものだ。両報告書から見てとれるのは、公的年金という国民生活になくてはならない仕組みを狙っているという責任感と緊張感の欠如だ。備えはおろそかで、事後の対応も後手後手だった。

 

情報流出の経緯とずさんな管理体制

流出したのは基礎年金番とその番号を使っている人の名前、生年月日など。情報は一度のサイバー攻撃で流出したわけではない。

 

今年5月から大きく分けて3回の攻撃があり、最後の攻撃が致命傷となった。つまり初期の段階ですばやく適切に対応をしていれば情報流出は防げたわけだ。サイバー攻撃を受けた後の対応が不適切であったことは明確だ。

 

だがしかし、最も注目すべき点はそこではない。日本年金機構の個人情報管理方法のあり得なさだ。本来、保管されてはいけない、外部ネットワーク(インターネット)に繋がった場所に個人情報を保管・管理していたのだ。社会的に大きな影響のあるシステムを扱う団体として考えられない状態だと私は思う。具体的な管理体制は以下の通り。

 

f:id:kaidaten:20150825132958j:plain

 


年金機構内部では、職員が基幹システムに保存されている年金情報を扱う際、ファイル共有サーバーにDVDを介してデータを移して利用するというとんでもない体制で業務が運営されていた。

 

職員から申請を受けた後、同機構のシステム部門がDVDを手配し、それを職員に手渡す。職員はファイル共有サーバにデータを移し終えた後も、個人情報が丸ごと入ったそのDVDをしばらく手元に置くことができる状態にあったそうだ。

 

これは昨年7月に顧客情報を流出させたベネッセと比較しても、格段に甘い管理体制の元に発生した不祥事だと断言できる。

 

ベネッセ事件の場合、システム開発を請負う下請会社のベテラン社員が、顧客情報が保管されているいわゆる「本番環境」から、外部記憶端末を介して顧客情報を抜き取っていた。

 

しかし、このベネッセですら、最低限、ネットワーク上では顧客情報を外部から遮断し管理していた。「本番環境」から情報を持ち出すことは、もちろん重大なルール違反に当たる。

 

しかしながら、実際には個人情報を外部に持ち出すルートが「物理的」に存在したのだ。そこを悪意を持った一人の人間に突かれた。これは、「対人」という物理上の危機管理体制の甘さが問われた事件であったが、少なくとも内部の人為的な犯罪行為がなければ、事件発生には至らなかったはずだ。この事件以降、民間のシステム会社各社の個人情報管理体制が強化されたことは言うまでもない。

 

個人情報とは本来、そこまでして守らなければいけないものなのだ。

 

今回の年金機構の流出事件の場合は、職員が”堂々と”個人情報が入った電子媒体を長期間保持できる状態、かつ外部ネットワークに繋がる場所に情報をコピーできる状態にあったというのだから、落ち度の次元が違う。民間の大手システム開発会社ではまずあり得ない状態といっても過言ではないだろう。

 

業務の効率がどれだけ落ちても超えてはいけない一線がある。同機構のシステム部門は、サイバー攻撃が激化するこのご時勢において、この体制で問題ないと本気で考えていたのだろうか?甚だ疑問に感じる。

 

以下は、Norse(米)が提供する「ipviking」という世界中のサイバー攻撃を可視化できるWEBサービスへのリンクだ。

 

Norse Attack Map

 

f:id:kaidaten:20150825133644j:plain

 

どの国からどの国へサイバー攻撃が行われているのか、世界各国のデータセンターから情報を収集し、日々更新されている。

 

実際に閲覧してもられれば分かるが、中国などを中心に日本への攻撃もそれなりに多いことが分かる(さすがに米国への攻撃とは比にならないが…)。今後、このようなサイバー攻撃はますます激化していくだろう。情報漏洩のリスクは増すばかりだ。

 

今回の事件を発端に、日本の、特に行政に近い団体のシステム管理体制が抜本的に見直されることを切に願う。でなければ、いつかとんでもない事件が発生し、多くの人々が不利益を被ることになるだろう。