年金情報流出 サイバー攻撃への認識が甘い

朝日新聞 2015年06月03日

年金情報流出 再発と二次被害を防げ

日本年金機構がサイバー攻撃を受けて、公的年金の加入者・受給者の個人情報125万件が流出した。流出件数はさらに増える可能性があり、犯罪に悪用される恐れもある。二次被害が起きない対策を講じるとともに、捜査当局と協力して侵入者の特定に全力をあげてほしい。

流出したのは、基礎年金番号と氏名、生年月日、住所。年金関連の通知を出すために管理していた「情報系システム」に不正に侵入された。

このシステムは、一部の職員に見る権限が限られていたものの、職員に届いた電子メールの添付ファイルにウイルスが仕込まれていた。

これまでに①不正アクセスが発覚した5月8日以降も添付ファイルを開ける職員がいた②警察に相談するまでに約10日かかった③漏れた情報のうち55万件分については内規が定めるパスワードの設定がなされておらず、情報がそのまま外部に出てしまった、などの事実が明らかになっている。

こうした事実を踏まえれば、機構の備えもその後の対応も十分だったとは言いがたい。

機構については、個人情報保護に関する評価が5年連続で5段階の下から2番目で、不十分であることが厚生労働省からも指摘されている。

年金をめぐっては、かつても加入記録の漏れや誤りなどのずさんな管理や、職員が有名人の記録をのぞき見るなどの不祥事が発覚し、社会保険庁が解体されて今の年金機構ができた経緯がある。制度に対する国民の信頼を回復する役割を負う組織での不祥事である。

サイバー攻撃は年々巧妙になり、対策とのいたちごっこになっている実情はある。それでも情報流出を防ぐにはなにが必要だったのか、どこが不備だったのか、実務的な点検を急いでシステムや運用の欠陥を埋める必要がある。

流出した情報が振り込め詐欺や悪徳商法に用いられる恐れもある。「対策」を装って高齢者に近づくケースもあるかもしれない。加入者・受給者への注意喚起を含めて被害を食い止める責任が機構にはある。

来年からは、国民一人ひとりに番号を割り当てる「マイナンバー」制度の運用が始まる。年金だけでなく所得など機微に触れる個人情報を番号に対応させる仕組みには、もとより懸念がある。信用が失墜したままでは本格導入は望めない。

政府が持つ国民の個人情報の安全管理を政府全体で徹底する必要がある。

読売新聞 2015年06月03日

年金情報流出 サイバー攻撃への認識が甘い

サイバー攻撃に対する認識が甘すぎる。政府を挙げて、再発防止に取り組まねばならない。

日本年金機構の職員のパソコンが標的となり、年金受給者と加入者の氏名、住所、基礎年金番号など、計125万件の個人情報が流出した。

複数の職員が、パソコンに送られてきたメールの添付ファイルを開封し、情報を盗み取るウイルスに感染したのが原因だ。パソコンは、個人情報を集約したサーバーと接続しており、攻撃者がデータを引き出せる事態に陥った。

サイバー攻撃の典型的手口である「標的型メール」とみられる。年金機構は不審なメールを開かないように職員を指導していたが、徹底されなかった。

個人情報を保存するファイルにはパスワードを設定することが、内規で定められていた。ところが、約55万件分の保存ファイルについては未設定だった。

個人情報を取り扱う自覚を欠いていたと言うほかない。

メールの送受信と、個人情報を扱う作業を別々のパソコンで行っていれば、流出は防げたはずだ。菅官房長官が「やるべきことをやっていない」と、年金機構を批判したのは当然である。

流出した情報を悪用すれば、本人になりすまして住所変更が可能になる。年金記録が第三者に知られてしまう恐れがある。年金が不正受給される可能性は低いというが、情報が詐欺などの犯罪に悪用されかねない。

不正防止のため、機構は該当者全員の基礎年金番号を変更する。新たな混乱を招かぬよう、迅速かつ正確な作業が求められる。

厚生労働省は原因究明と再発防止のための調査委員会を設置する。情報管理システムの問題点を洗い出してもらいたい。

共通番号(マイナンバー)制度は、10月から番号が国民に通知され、来年1月に運用が始まる。所得や住民登録、年金などの情報を一つの番号で管理する。

行政の効率化や適正な社会保障給付のために重要な仕組みだ。

それぞれの情報は、従来通りに別々の機関で管理し、番号が流出しても、芋づる式に漏えいしないよう工夫されている。今回の問題を受け、甘利経済再生相は「絶対にこうした事件が起こらないように対処していく」と強調した。

ただ、不安を抱く国民は少なくあるまい。円滑な運用に向け、政府は、システムを再点検し、セキュリティー対策について丁寧に説明する必要がある。

産経新聞 2015年06月02日

年金情報流出 国民の不安払拭に全力を

日本年金機構の端末が不正アクセスを受け、約125万件の年金情報が外部に流出した。流出情報には、基礎年金番号や氏名、生年月日、住所などが含まれる。

これらの情報が犯罪行為に使用される可能性もある。同機構には、国民の不安を払拭すべく、万全の対応を取ったうえで再発防止に向けた具体策を講じてほしい。

同機構によれば、職員が電子メールのウイルスが入った添付ファイルを開いたことにより、不正アクセスが行われ、情報が流出したとみられる。いわば「標的型メール」の古典的手口である。

標的型メールはウイルスが仕込まれた添付ファイルを開くと、そのパソコンが感染する。感染したパソコンは強制的に外部のサーバーに接続され、遠隔操作により組織内のネットワークに侵入して情報を盗み出そうとする。

過去にも防衛省や経済産業省といった省庁や、三菱重工業やソニーなどの企業が、その標的となったことがある。

年金機構の場合、国民の個人情報そのものを取り扱っているだけに、事態は深刻だ。氏名、住所、生年月日の情報がそろえば、さまざまな「なりすまし」の犯罪に使用されることが想定できる。まず、実質被害の有無の調査や阻止の方策を徹底すべきだ。

同機構は、情報が流出した加入者の基礎年金番号を変更するなどの対応策を打ち出しているが、さらなる混乱を招かないよう、慎重で正確な作業を期してほしい。

日本年金機構はもともと、有名人の年金記録ののぞき見や汚職事件などの不祥事が相次いだことなどから廃止された社会保険庁の後継として平成22年1月に発足した組織だ。国の委託を受けて保険料の徴収や記録管理を担うが、国民の信頼が背景になければ、組織として成り立たない。原因調査、再発防止策を徹底して信頼を回復しなくてはならない。

もちろん、一番悪いのは、不正アクセスにより個人情報を流出させた側である。すでに通報を受けた警視庁が事実関係の確認を進めるなど捜査を始めている。

過去の標的型メールの分析では、不正プログラムによる強制接続先が外国であるケースも多々あった。サイバー空間の犯罪を防ぐには、新たな法整備や国際協力も欠かせない。

この記事へのコメントはありません。

この社説へのコメントをどうぞ。
お名前
URL
コメント

この記事へのトラックバックはありません。

トラックバックはこちら
http://shasetsu.ps.land.to/trackback.cgi/event/2217/