膨大な個人情報を扱う組織とは思えない。ずさんな情報管理体制を改めることが急務である。
日本年金機構から受給者の基礎年金番号など125万件の個人情報が流出した問題で、機構の内部調査委員会と厚生労働省の検証委員会が、それぞれ報告書を公表した。
機構の報告書によると、5月8~20日にウイルスを仕込んだ「標的型メール」計124通を受信した。うち5通の添付ファイルなどを職員が開いてパソコン31台がウイルス感染し、21日から3日間で一気に情報が流出した。
この間、機構が被害を食い止める機会は何度もあった。
だが、最初のメール受信後に送信元アドレスの受信拒否設定をしなかった。メール受信者に添付ファイル開封の有無をきちんと確認せず、機構全体のインターネット接続を遮断する措置も遅れた。
機構の水島藤一郎理事長は記者会見で、「開封したかどうかの確認は行われていると思っていた」と釈明した。担当者任せの甘い対応ぶりがうかがえる。報告書が「危機感が十分ではなかった」としたのはもっともだ。
ずさんな情報管理が常態化していたことも問題である。
必要があれば、インターネットに接続された共有ファイルサーバーへの個人情報の保存を認められていた。常に情報流出の危険にさらされていたと言える。
パスワードの設定といったルールが守られず、機構が実態をチェックする仕組みもなかった。
報告書は、組織の一体感の不足など、旧社会保険庁からの「積年の問題」が根底にあると分析した。旧社保庁では、本庁と地方など採用の異なる職員の「3層構造」が統制の欠如を招き、年金記録漏れなどの不祥事につながった。
悪しき体質が残っているのだろう。情報管理体制の強化に加え、組織の抜本改革が求められる。
厚労省の責任も重大である。
検証委員会の報告書によると、機構の情報システムに関する厚労省の担当部署が不明確で、適切な指揮監督ができなかった。
機構が標的型メールを受信する前の4月に、類似の攻撃を受けていたにもかかわらず、情報提供や注意喚起を行わなかった。
塩崎厚労相が「けじめは機構も厚労省もつけなければいけない」と述べたのは当然だ。再発防止を徹底し、年金制度への信頼回復に努める必要がある。
巧妙さを増すサイバー攻撃に対し、官民で対策を強化したい。
この記事へのコメントはありません。