アンビリーバブルすぎる日本年金機構の個人情報流出

大西 宏

日本年金機構が125万件の個人情報を流出させた件は、この組織が未だにまともとは言えないのじゃないかと疑わせます。個人情報を扱うのにあまりに無神経で、また情報のセキュリティに関する知識や能力があるとはとうてい思えません。そしてなによりも腹立たしいのは、この対処に対して、なんらかの費用が発生するということです。どう責任を取るのでしょうか。


情報が流出したこともさることながら、情報が流出した原因には呆れるばかりです。
日本年金機構の個人情報流出について(日本年金機構プレスリリース PDF資料)
年金機構の甘さ、傷口広げる 警告浸透せず流出:日本経済新聞
住所など125万件の個人情報が流出–日本年金機構 – ZDNet Japan

そもそも、年金の個人情報、とくに年齢や住所まで含まれた情報は、犯罪組織、あるいは犯罪者からすれば、入手すれば悪用して使えます。当然、それを狙ってなんらかの攻撃を仕掛けてくる可能性が高いので、それを前提とした情報管理が必要と考えるのが普通でしょう。

そんな視点で事件の報道を見てみると、ウイルスの入った電子メールの添付ファイルを開封したことにより、不正アクセスが起き、情報が流出したというもののようですが、もしそうだとすれば、次の2点で理解不能なのです。

まず、第一にそもそも個人情報のファイルをなぜPCにダウンロードしていたのかです。あるいはなぜサーバーからダウンロードできるシステムになっていたのかです。サーバーから個人情報ファイルをダウンロードしてなにをしようとしていたのかがさっぱり理解できません。PCに個人情報ファイルをダウンロードしないとできない業務があるとすれば、その業務のシステム設計そのものが根本から間違っています。しかもダウンロードしたファイルにはパスワードがかけられていないものがあったというのですから話になりません。

第二に、なぜ電子メールの添付ファイルをクリックしたのでしょう。個人情報のファイルを扱っていて、添付ファイルをクリックする無神経さに驚きますが、万が一添付ファイルをクリックしたときに、 ウィルス対策ソフトは作動しなかったのでしょうか。日経の記事によれば、年金機構のシステムにはウイルスを検知するソフトが組み込まれていたけれど、何らかの理由でこれをすり抜けてしまい端末が感染したということですが、定義ファイルが更新されていなかったのでしょうか。
もしかすると対策ソフトを入れていなかったのではないかとも疑いましたが、記事によれば、契約しているウイルス対策ソフト企業に解析を依頼しているということなので、いちおう対策ソフトはインストールはされていたようです。対策ソフトそのもの、あるいはその運用に問題があったということでしょうか。まったくの新種のウィルスだったとしか考えられないのです。

結局は何重もの非常識がかさなって情報漏れが起こったということです。日本年金機構は、外部有識者を含めた原因解明調査を実施し、再発防止策を策定するための委員会を設置するということですが、原因解明の結果についてはぜひとも公表し、責任の所在を明らかにしてもらいたいものです。