日本年金機構から個人の基礎年金番号などの情報が漏れたことが問題となっています。
どうやら最初5月8日に職員のパソコンがサイバー攻撃を受け、ウイルスに感染、その後も18日までの間に複数のパソコンがウイルスに感染し不正アクセスによる流出のようです。
流出した情報については、基礎年金番号、氏名、生年月日、住所などその数およそ125万件と大量です。これに対し、日本年金機構の対応は以前の社会保険庁時代と変わらずずさんだ、と言ってしまえばそれまでですが、サイバー攻撃を仕掛ける側の手口も巧妙化しているようでし、根本的な管理の方法が問われる問題だと思います。
巧妙化するサイバー攻撃の手口
今回の流出は、特定の企業や団体から機密情報を盗み出すサイバー攻撃にあったものとみられています。
基礎年金番号や生年月日などの情報については、基幹システム(社会保険オンラインシステム)によって管理されており、外部から直接システムにアクセスすることは困難なものだと思われます。
流出の原因は、職員がウイルスの仕込まれた添付ファイルつきのメールを受信し、その添付ファイルを開いたことによってパソコンがウイルスに感染、その後、不正アクセスによって、ファイル共有サーバーに置かれていた情報が流出したようです。
ウイルスの仕込まれたメールの件名は「厚生年金基金制度の見直しについて(試案)に関する意見」となっており、思わず開きたくなるタイトルがつけられていました。
年金情報流出が発生する問題点
今回の流出による問題を考えてみると2つあります。
ひとつめは、やはり安易に添付ファイルを開かないという問題です。
メールの件名をみると、思わず開きたくなるような業務に関係していると思われるタイトルがつけられていました。
最近では、過去のメールを見たうえで、そこから推測されるようなタイトルをつけて送りつけるようです。こうなると件名で判断せずに、せめて添付ファイルの種類くらい確認するべきでしょう。
でも調べてみると、手口は巧妙すぎるようです。添付ファイルがExcelファイルなんかじゃ、思わず開くかも。。。
怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 pic.twitter.com/SwKNkH4t9s
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) June 2, 2015
ふたつめは、情報そのもは基幹システムにあっても、ダウンロードしたファイルをパソコン内や共有ファイルなどに保存している点です。
基幹システムへのアクセス権限を制限したり、対象者を限定するなど情報に対するアクセスそのものを厳しくすればするほど、申請や許可に手間が係るようになります。その手間を考えてみると日常的に使用するファイルなどに保存しておきたくなる気持ちもわかります。
但し、ここの管理が甘ければ基幹システムのセキュリティは意味を成さなくなります。おそらく安易に添付ファイルを開いたぐらいでしょうから、ファイルも共有サーバーに置いていたというレベルだとも言えるかと思います。
マイナンバーは大丈夫だと言っているけれど
タイムリーではありますが、来年1月から国民に背番号を振るマイナンバー制度が始まります。マイナンバーは税や社会保障に関する情報と紐づいており、社会保険の手続きでも利用されるようになります。そのため当然ながら年金事務所(日本年金機構)においても利用されます。
この点についてはニュースでも話題となっていますが、マイナンバーは独立したシステムで管理されており流出することはないという見方のようです。
そうは言っても、今回のようにマイナンバーを個人のパソコンや共有サーバー(フォルダ)など置いておくことも予想されます。こうなると今回の流出問題と同様のケースが発生することは充分考えられます。
情報を扱う個人のレベル引き上げが必要では
繰り返しになりますが、この問題は単に日本年金機構は社会保険庁時代と変わっていない、ずさんな管理だと批判して終わるものではありません。
今回のウイルスにしても「新種」のためウイルス対策ソフトが検知できなかったそうですが、サイバー攻撃を仕掛ける方法は、今後も巧妙化することは充分考えられます。
日本ネッワークセキュリティ協会によると、2013年に個人情報漏えいインシデントとなった原因は「誤操作(=誤廃棄)」36.6%、「管理ミス(=ケアレスミス)」28.7%となっており、このふたつで65.3%となっています。
「2013年度情報セキュリティインシデントに関する調査報告」
このように情報を取扱う側のミスによる漏えいが半数以上を占めており、元の情報の保存がいかに厳重であっても余り意味を成さないことがわかります。
つまり、その情報が大切なものだという意識づけと安易な取り扱いをしないように、情報を取扱う個人のレベルを上げることこそが喫緊の課題だと思えてなりません。