125万件の年金情報が流出!ルール違反の共有サーバー利用が原因

ひとつの業務に長年対応するということは、良いことばかりではありません。特に日々進歩するネットワークの世界には、進歩と同時に脅威も急速に増えているという現実も。

このような問題の存在を明らかにした日本年金機構の情報流出事件は、記憶に新しいところです。すでにこの事件を悪利用した怪しい電話が、全国的に確認されているようです。

我々は、この問題から何を教訓として得れば良いでしょうか?それは、今後の我々にとって、重要な知識となるでしょうか?

年金情報を流出させたのは「標的型ウィルス」

2015年の6月1日に、日本年金機構で発生した年金情報の流出事件が発表されました。我々の年金情報という非常に重要な情報が流出するという大問題。じつは、さらに別の問題も明らかにしました。

それは、本来年金情報があってはいけないファイル共有サーバーに、日頃から習慣的に個人情報を格納していたという問題です。さらに、もともと暗号化されていた情報を復元して、そのままの状態で保存していたという問題も、流出事件を調査する過程で明らかになりました。

流出事件自体は、一般的に「標的型」と呼ばれているサイバー攻撃の手法によるものでした。

これは年金機構の職員が、ウィルスが添付されていた受信メールを開いたことで感染。そして誰でもアクセスできる共有サーバーに格納していた年金情報が、外部に流出という経緯であったようです。

年金情報流出は他人ごと?

今回の問題は、年金機構自体のサイバー攻撃に対する認識に問題があったようです。標的型ウィルスの感染自体を、完全に防ぐことはできません。

最初から、もしも感染しても個人情報へは絶対にアクセスできない体制をとっておくべきでした。

今回流出した約125万件の情報のうち、約55万件にはパスワードが設定されていなかったことも判明しています。情報のなかには基礎年金番号と氏名、そして生年月日と住所まで記載されたものさえ含まれていたということです。

基礎年金番号まで正確に知っている人から連絡がくれば、だれでも年金機構の職員と認識するでしょう。実際に不審な電話がかかってきたという報告も。このような重大な結果も、単なる長年の習慣から発生したという事実は、他人ごとではないでしょう。すでに2010年の年金機構発足時から、個人情報を誰でもアクセスできる共有サーバーに格納していたとの証言もあるようです。

年金情報が流出するという現実

せめて全ての情報を内規に従って暗号化していればという感想を誰でも抱くでしょう(暗号化は各職員任せだったようです。)。実際にそのような危機意識があれば、最初から共有サーバー内に重要なデータを格納しなかったかも知れません。

現在業務でパソコンを利用している人は、今回の事件をどのように感じたでしょうか?

どこの企業にも発生する可能性のある話として、これを契機にネットワークのセキュリティ体制を確認してはどうでしょうか?

長年ネットワークに関連した業務を行っている企業ほど、長年の慣行によって、セキュリティ対策を各スタッフ任せにしている部分が多いのでは?