年金情報流出　危機感の欠如が被害を広げた

年金情報流出　あまりに無防備だった

ウイルスメールによって日本年金機構から約１２５万件の個人情報が流出した問題に関して二つの報告書が公表された。機構の内部調査報告書と厚生労働省の第三者検証委員会の報告書である。

流出に至る経過を見ると、個人情報を守る基本が欠落していると言わざるをえない。機構からの流出に先だって、厚労省に類似のメールが送りつけられていたにもかかわらず、この事案を機構に伝えていなかったことも新たに明らかになった。厚労省は機構の監督官庁である。その責任も大きい。

個人情報の流出と対応の不手際は、年金制度への不信にもつながる。機構も厚労省も早急に対処策を定めて着実に実施してほしい。

報告書が列挙した機構の不備はこんな具合だ。

セキュリティーの専門知識がある職員が担当部署に配置されていなかった▽ウイルスメールが届いた場合、開封したかどうか受信者に確認する手順が定められていなかった▽ウイルスメールを模したメールを送付して対処方法を学ぶ訓練が行われていなかった▽共有ファイルサーバーに個人情報を保存する際はパスワードをかけるルールが守られていなかった……。

ないないづくしである。政府のサイバーセキュリティ戦略本部は「攻撃は巧妙化しており、メールも見分けが困難。メール開封を前提とした対策が必要」と指摘する。だが、機構では、こうした対策以前にやるべきことができていなかった。

個人情報保護に関する機構の緩さは、今回の流出事件にとどまらない。

年金に関して機構から一般企業に個人情報を入れたディスクを送る際に、データにアクセスするパスワードが分かる紙を同封して普通の郵便で送っていたことも明らかになっている。

今回の問題の根底には、機構の前身である旧社会保険庁の体質が影響していることを機構側は認めている。

年金記録問題などで解体された社保庁では、現場の実態が幹部に伝わらない、ルールが徹底されない、といった問題があった。情報を守るうえで欠かせない組織文化の改善に、本気で取り組んでほしい。

来年１月からは、国民ひとりひとりに番号を割り振るマイナンバー制度が始まる。情報を流出させない手立てが万全となるまで、年金分野の接続は見送るべきだ。

このままでは、個人情報の保護があまりに危うい。

年金情報流出　危機感の欠如が被害を広げた

膨大な個人情報を扱う組織とは思えない。ずさんな情報管理体制を改めることが急務である。

日本年金機構から受給者の基礎年金番号など１２５万件の個人情報が流出した問題で、機構の内部調査委員会と厚生労働省の検証委員会が、それぞれ報告書を公表した。

機構の報告書によると、５月８～２０日にウイルスを仕込んだ「標的型メール」計１２４通を受信した。うち５通の添付ファイルなどを職員が開いてパソコン３１台がウイルス感染し、２１日から３日間で一気に情報が流出した。

この間、機構が被害を食い止める機会は何度もあった。

だが、最初のメール受信後に送信元アドレスの受信拒否設定をしなかった。メール受信者に添付ファイル開封の有無をきちんと確認せず、機構全体のインターネット接続を遮断する措置も遅れた。

機構の水島藤一郎理事長は記者会見で、「開封したかどうかの確認は行われていると思っていた」と釈明した。担当者任せの甘い対応ぶりがうかがえる。報告書が「危機感が十分ではなかった」としたのはもっともだ。

ずさんな情報管理が常態化していたことも問題である。

必要があれば、インターネットに接続された共有ファイルサーバーへの個人情報の保存を認められていた。常に情報流出の危険にさらされていたと言える。

パスワードの設定といったルールが守られず、機構が実態をチェックする仕組みもなかった。

報告書は、組織の一体感の不足など、旧社会保険庁からの「積年の問題」が根底にあると分析した。旧社保庁では、本庁と地方など採用の異なる職員の「３層構造」が統制の欠如を招き、年金記録漏れなどの不祥事につながった。

悪（あ）しき体質が残っているのだろう。情報管理体制の強化に加え、組織の抜本改革が求められる。

厚労省の責任も重大である。

検証委員会の報告書によると、機構の情報システムに関する厚労省の担当部署が不明確で、適切な指揮監督ができなかった。

機構が標的型メールを受信する前の４月に、類似の攻撃を受けていたにもかかわらず、情報提供や注意喚起を行わなかった。

塩崎厚労相が「けじめは機構も厚労省もつけなければいけない」と述べたのは当然だ。再発防止を徹底し、年金制度への信頼回復に努める必要がある。

巧妙さを増すサイバー攻撃に対し、官民で対策を強化したい。

日本年金機構　この組織に任せられるか

「抜本的見直し」という言葉さえ、もどかしさを感じる。

１２５万件に上る個人情報流出事件をめぐる日本年金機構のずさんな対応を見る限り、とても国民の年金を扱うに足る組織とは思えない。

機構は「再生本部」を立ち上げ態勢立て直しを急ぐとしている。だが、社会保険庁を廃止して設立された経緯を考えれば、自己再生を期待するのは難しい。国民の年金不信を食い止めるには、安倍晋三首相自らが先頭に立って改革に乗り出す必要がある。

一番に責められるべきはサイバー攻撃を仕掛けた犯人である。機構は被害者だが、最初の攻撃を受けた際に適切な対応さえしていれば、流出は防げたことは機構自身が認める通りだ。

しかも、それは極めて初歩的なミスだった。最初に標的型メールを疑った担当者の報告に対して幹部は動かず、職員が不審メールを受信していたことを把握しながら担当部署は確認を怠った。サイバー攻撃に対応する具体的なルールも定められていなかった。個人情報の重みに対する意識が欠如していると言わざるを得ない。

厚生労働省年金局が４月時点で似た手口での攻撃を受けていたにもかかわらず、機構に伝えていなかったことも新たに発覚した。監督官庁としてあるまじき態度であり、その責任は免れまい。

それ以上にこの問題が深刻なのは、機構の組織体質が改まっていない点にある。機構の内部調査では、ガバナンスの脆弱（ぜいじゃく）さ、組織としての一体感の不足やリーダーシップの欠如といった社保庁時代からの構造的な課題が事件の背景になっていることを認めた。

国民の年金に対する信頼は、社保庁職員の記録のぞき見、保険料の不正免除といったデタラメな仕事ぶりで失墜した。機構の最大の使命は信頼の回復にあった。組織風土の刷新はその一歩だったはずだが、これから先どのような展望があるのか。

年金記録問題が発覚して１０年以上が経過した。いまだに年金事務への信頼が揺らいでいるのは異常事態である。この間、２度の政権交代を経て与野党とも問題の重要性は認識しているはずだ。

腐敗した社保庁からの移行組が大多数を占める機構が、国民の信頼を得ることは難しい。大胆な改革を考えるときである。

この記事へのコメントはありません。

この記事へのトラックバックはありません。

トラックバックはこちら: http://shasetsu.ps.land.to/trackback.cgi/event/2262/

年金情報流出 あまりに無防備だった