日本年金機構のセキュリティ

日本年金機構の個人情報流出の問題がマスコミなどで日々大きく取り上げられています。最初に異常発覚してから大臣に情報が届いたのは3週間後であったなど、政治や組織の問題としてもこれから目が話せない問題だろうと思います。

その情報流出ですが、ウィルスに感染したら物理ネットワークから遮断するのが、対策の基本だと思いますが、どうもそれが行われなかったようです。

日本年金機構（東京）の個人情報流出事件で、機構側の情報管理のずさんさや対応の遅れが明らかになった。なぜ、125万件もの大量の個人情報が流出しなければならなかったのか。「適切対応で被害拡大は免れた」。専門家は指摘している。

機構の対応の遅れが被害悪化を招いたとされる。最初に不審なメールが届いたのは5月8日だった。九州ブロック本部（福岡市）の入札参加希望業者を受け付けるメールアドレスがねらわれた。件名は「『厚生年金基金制度の見直しについて（試案）』に関する意見」と職員の関心をひくものだったという。担当職員は添付ファイルを開封し、パソコンはウイルス感染した。

ただ、異変はすぐに察知される。開封で不審な通信が出始めたのを行政機関へのサイバー攻撃対策を担う「内閣サイバーセキュリティセンター」が発見。連絡を受けた機構は、すぐに職員のパソコンを外部のネットワークと遮断した。

情報セキュリティー会社に解析も依頼し、機構内の全パソコンに、このウイルスを駆除するソフトを入れたが、機構全体で外部通信を遮断する措置が取られることはなかった。サイバー犯罪に詳しい甲南大法科大学院の園田寿教授（刑法）は「この時点で外部との通信を完全に遮断していればこれほどの被害は出なかっただろう」とみている。

数日後、さらなる異変が確認される。東京の機構本部の入札関連部署に最初とは別のウイルスが仕組まれた不審なメールが届く。1人が開封し、18日に新たなウイルス感染が発覚した。

機構は19日、警視庁に被害を相談し、九州ブロック本部と機構本部で順次外部通信を遮断した。ただ、28日、警視庁からの連絡で大量の情報流出が明らかになる。機構が、ようやく全拠点での外部通信遮断に踏み切ったのは翌29日になってからで、最初の攻撃から3週間が経過していた。

園田教授は「情報管理への意識の低さや内部の判断ミスなどが複合的に重なり今回の大量情報流出を招いた。技術的な安全システムを有していても人的要因で簡単に流出に発展する恐れがあることを改めて思い知らされた」と話している。