http://www.asyura2.com/15/senkyo186/msg/412.html
| Tweet |
衆院厚生労働委員会で、謝罪する日本年金機構の水島藤一郎理事長=3日、国会(酒巻俊介撮影)
http://www.zakzak.co.jp/society/domestic/news/20150609/dms1506090830006-n1.htm
2015.06.09
日本年金機構がサイバー攻撃を受け、個人情報約125万件が流出したことで、マイナンバー法改正案への影響を懸念する声がある。事件の背景に何があるのだろうか。
報道では、メールで送付された添付ファイルを開いてウイルスに感染し、不正アクセスされたという。正直言ってかなり驚いた。典型的な「標的型メール」にひっかかったこともさることながら、日本年金機構の「全役職員に個人情報保護の意識が浸透・定着したとはいえない」との説明にはもっと驚いた。
全役職員が添付ファイルに正しい対応をすることを期待しているかのようだが、できないことを想定してリスク管理するのが常道だ。個人情報にアクセスできる端末を限定して、それを扱う人の記録を残し、その人たちにしっかり研修すべきだった。
一般組織では、個人情報を扱える端末・担当者は限定されている。年金機構では多くの役職員が個人情報を扱わざるを得ないとしても、扱える端末を限定する等の工夫が当然必要である。全役職員にセキュリティー知識を持たせるのは無理であり、必ずミスがあるという前提で、システムを構築せざるを得ない。
年金機構のネットワークの脆弱(ぜいじゃく)さも問題だ。ウイルスを端末内に隔離したり、ネットワーク外への通信はできないのが、大企業の管理であるが、年金機構ではどうだったのか。
役職員の意識も情けない。業務でやむを得ず添付ファイルのやりとりをする場合、暗号化してパスワードをかけるのが通常だ。パスワードは別のメールで送るものだ。
日本年金機構の前身である社会保険庁は、数々の不祥事をやってきた。筆者は官邸勤務時代に、その職員の勤務実態を調べたことがあるが、汚職、着服、個人情報漏洩(ろうえい)、年金記録問題、不正免除手続きなどかなりひどいお役所体質だった。
その反省から、社保庁改革が行われ、年金機構になったわけだが、基本的な体質はまだ改善されていなかったようだ。
厚生労働省は、年金機構の個人情報管理の杜撰(ずさん)さをよく知っていたはずだ。毎年の厚労大臣による年金機構の業務実績評価で、5年連続で内部統制システムは「C評価」(5段階で下から2番目)となっていることは、年金機構の公表物などに書かれている。
厚労省によれば、ウイルスメールが年金機構に送られたのは5月8日。その段階で対応しなければいけないが、6月1日の公表まで時間がかかりすぎたのは、リスク管理上重症だ。しばしば「全容がわからなかったから」という言い訳がされるが、公表の遅れは、さらなる被害を招く恐れがある。この点については、関係者の厳罰が必要である。
いずれにしても、第三者によって事件の背景などの原因究明が必要で、その上で再発防止策を講ずるべきだ。この手順を誤ると、かつての「消えた年金問題」の再来になる。年金機構の抜本改革が必要だろう。 (元内閣参事官・嘉悦大教授、高橋洋一)
- 年金機構は氷山の一角、少なくとも300カ所に侵入済み、報道機関にもクラウド事業者にも “日本全体”が標的(IT板リンク) てんさい(い) 2015/6/09 17:33:33
(0)
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
▲上へ ★阿修羅♪ > 政治・選挙・NHK186掲示板 次へ 前へ
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
