このエントリーをはてなブックマークに追加このエントリをつぶやくシェア

日本年金機構から個人情報が大量流出| 結局のところ社会保険庁の体質を引きずったままってことね

日本年金機構から個人情報が大量に流出したのだそうです。なんでも、よく分からないメールを開いたことにより、感染してしまったようですね。1 これを書いている時点では、約125万件の個人情報が流出しているのだそうです。ただ、被害の実態も完全には把握できていないようですから、今後被害は拡大するかもしれません。

さて、この件に関して、「誰が悪かったのか?」「どうしておくべきだったのか?」といったあたりの点を考えてみましょう。

職員の意識の問題なのか?

さて、この件に関して現時点では、メールを開けてウィルス感染させてしまった職員がバッシングされているようです。例えば、Yahoo!ニュースのコメント欄には次のような書き込みがありました。

普通は開かないけどね…
機構と職員の意識と能力の問題…
年金紛失から成長して無い!

危機管理能力が低過ぎる!
他人様の個人情報を扱っている意識が低い!

まあ、意識の低い人がいたから感染したというのは、間違ってはいないでしょう。確かに、よく分からないメールを開いた職員は、セキュリティに関して意識が低かった可能性は大きいです。

ただ、この人を責めても、本質的な問題解決にはならないでしょう。知らないメールを開けないなんていう事を全員に徹底するなんて、そもそも不可能な話だからです。うっかり開いてしまうことだって、ありうるでしょうしね。

ですから、上に挙げたような批判は、ちょっと短絡的過ぎると思うわけです。まあ、批判しやすいところですから、これからも批判されるのでしょうけどね。マスコミも、ここを批判している記事が多いようですし。

特に今回のメールは、業務上のメールであるように誤解を与えるような書き方をしていたようです。業務上開かないといけないメールなり添付資料なりであるように思わせたわけです。

変な言い方ですが、典型的な怪しいメールではなかったわけですね。これを開く人が全くいないようにするのは、いくらなんでも不可能でしょう。重要資料を見なければ、それはそれで問題になってしまいますから。

さらには、メールを開いた個人を罰しろというスタンスの人もいるようです。

まあ、仕事でヘマしたって、減俸にはならないだろ?
公務員だもんね。
自分たちの恩給が減るわけでもないし・・・。

セキュリティ意識が低い人に、個人情報を閲覧できる権限や職務を与えるのが問題ですよ。
メールを開封した本人もそうだが、そのような職務を与えた関係者も処分されて当然ですね。
個人情報や機密を扱わない部署(お茶くみ、掃除、荷物運び等)への配属をお願いしますね。

「恩給」なんて書いている時点で、よく分からずに書いている人なのだとは思いますけどね。まあ、誰かを罰しないと気がすまない人はいるわけです。

もちろん、この件の責任者は処罰されるべきだと思います。でもそれは、メールを開いた本人以上に、根本的な対策に失敗した人でしょう。

まあ、上のようなコメントは、あまり深く考えずに書いているのでしょう。事件に便乗して、とりあえずバッシングをしているという感じだと思われます。

誰かがおぼれている時に、その足を引っ張って沈めたくなる人は多いようですからね。ネットの世界だと特に。その類のコメントなのでしょう。

セキュリティソフトは万能ではない

次に目に付いた批判が、「セキュリティソフトを使っていたのか?」という疑問を投げかけるコメントです。

記事ではウィルス対策ソフトのことが書かれていないけど、まさか導入していないなんてことはないよね?

もしセキュリティソフトが入っていないとしたら、大問題ですよね。でも、さすがにこの点は大丈夫でしょう。国の機関のパソコンに、セキュリティソフトが入っていないはずはありません。

ただ、セキュリティソフトに関しては、そもそも誤解があるようです。じつは、セキュリティソフトをインストールしていても、ウィルス感染することはあるのです。

セキュリティソフトを入れているのに感染するのはどんなケースなのでしょうか。具体的には、セキュリティソフトが知らない新種のウィルスの攻撃があった場合です。

全く新しいウィルスに関しては、ソフトを入れていても対応できない場合が多いです。なぜかというとセキュリティソフトというのは、新しいウィルスが作られるたびにそれに対応して改良していくというやり方を採っているからです。ですから、全く新しいものには対処ができません。

特に今回は、日本年金機構をターゲットにするために、狙って作られたウィルスのようですね。こういうウィルスの場合は、本当に対応が難しいわけです。

どうすればよかったのか?

そもそも、今回の件に関しては、どのように対応していれば良かったのでしょうか。まず前提として、ウィルス感染したメールを開く馬鹿は必ず存在すると思っておくべきでした。

年金機構の職員がどの程度いるのか知りませんが、かなりの職員数であるのは間違いがありません。職員にセキュリティの教育をすることは大事ですが、完璧に徹底するのは不可能です。誰かが失敗しても問題にならない仕組みを作っておくべきだったと言えるでしょう。

ウィルスメールを開く馬鹿が存在するという前提に立って考えるという事は、要するに、一部のPCがウィルスに感染しても平気な仕組みを作らないといけないという事です。そのためにはどうすべきかというと、流出しては困るドキュメントは、インターネットにつながったPCに入れてはいけないという事になります。

ウィルス感染はインターネット経由で起こることが多いです。ということは、逆に言うと、インターネットに接続していないPCは感染リスクが小さいのです。ですから大事なドキュメントは、インターネットにつながっていないPCのみで開くようにしないといけないのです。

ということで、個人情報を扱う場合は、インターネットにつながっていないPCを使うべきなのです。これをしていない時点で、日本年金機構のシステムは、ザルであると言われても仕方がないでしょう。言っては悪いですが、大きな組織のセキュリティに関する「いろは」の「い」です

記事でも次のように書かれていますね。

そもそも個人情報を管理するサーバーに接続するパソコンを、メール処理に使うなど外部ネットワークにつなげていることは、ほかの官公庁では考えられない状況だ。

考えられないことをしているのが、日本年金機構という組織なわけですね。

官公庁だけでなく、セキュリティに気を使っている企業なら、インターネットにつながっているPCで個人情報は扱わないものです。インターネットを利用する場合は2台目のPCを用意して、感染リスクを下げる事も珍しくありません。

インターネットを使って情報収集をする場合は、そうも言っていられないのは確かです。それでも、メールソフトが使えるPCで個人情報に関する作業をすることは、絶対にしないでしょう。

まあ、中小企業だとここまではやっていないとは思いますけど。

細かい対応のミスがてんこ盛り

今回の件で一番問題なのは、上に書いたとおり、個人情報を扱うPCをインターネットにつなげていたことです。でも、それ以外のもいくつもの問題があるようです

具体的にどんな問題があったのか、記事を参考にチェックして見ましょう。

ウィルス感染の事実を自ら広める馬鹿

まず、日本年金機構に危機感が無いと思ったのが、個人情報が漏れたことを2ちゃんねるに書き込んだ馬鹿がいるという事実です。ちょっと記事を引用してみましょう。

また、公表前にもかかわらず、職員と思われる複数の人物が2ちゃんねるに「ウイルス感染しました」と報告していた。

  「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」
  「全職員はパスワードを強制的に変更させられました」
  「月曜日には、ウイルス感染を公表するのかな?」

といった、職員にしか分からない内容が5月31日までに何度も書き込まれていた。

職員の間で問題に関する箝口令は敷かれていなかったのか。担当者不在のため分からなかったが、公表前にもかかわらずネット掲示板に書き込みが相次ぐ様子からは、危機意識のなさが透けて見られる。「個人情報が抜かれてなければいいが、、、」と懸念する書き込みもあったが、現実のものになってしまった。

所属する組織の情報をむやみに口外しないって、社会人なら当たり前のことだと思うのですけどね。官公庁の職員なら、口外しない事も契約のうちに入っているでしょうし。でも、そういう意識が無いのでしょうか。

うっかりメールを開いた本人よりも、軽々しくネットに書き込む人の方が、個人的には問題が大きい気がします。こんな人たちのところに、個人情報を渡したくは無いですよね。

むしろ、この人たちにこそペナルティを与えるべきではないかと思います。

各ファイルにパスワードを徹底させるのは難しい

また、記事の中では、ファイルにパスワードが設定されていなかったのを問題視しています。パスワードを入力しないと開けないようにしておけば、流出は無かったと言いたいようです。

流出した125万件のうち、55万件の個人情報にはパスワードが設定されていなかった。担当職員であれば誰でも簡単にアクセスができ、内規違反にあたる状態が放置されていたことになる。

件数から判断するに、約半分のファイルでパスワードが設定されていなかった可能性がありそうです。さすがにちょっと多すぎだとは思います。

とは言え、パスワードの設定を徹底させるのはかなり難しいでしょうね。これをさせるのは、ちょっとリアリティがありません。

全てのファイルでパスワードを自動的に設定するような仕組みにしておけば徹底できるのかもしれません。でも、市販のソフトを使う限り、ちょっと難しそうです。

現実的にパスワード設定を徹底しようと思うと、設定漏れに対して罰則でも設けておかないと難しいでしょうね。それに、パスワードの設定の有無を定期的にチェックする人材も必要でしょう。

対応が遅すぎるのはなぜだろう?

もう一つ気になるのが、感染確認から外部ネットワークとの遮断まで20日もかかったという点です。これも、記事の該当部分を引用して見ましょう

また対応の遅さも目に付く。最初に感染が確認されたのは8日であるにもかかわらず、機構内の全パソコンを外部から遮断したのは29日になってからだ。感染が拡大していた20日間、外部ネットワークとつながっていた状況をずっと放置していたことになる。

外部ネットワークというのは、多分、インターネットのことですよね。その対応にこれだけ時間がかかるって、ちょっと信じがたいことではあります。

セキュリティ優先なら、まず一旦遮断すべきでしょう。遮断するだけなら、数時間で対応できるような話です。

それをしなかった理由は何なのでしょうか。インターネットにつないでいないと、業務上大きな支障をきたすことでもあったのでしょうか。もしかして、情報隠蔽できないかと思って、対応を遅らせていたとか。残念ながら、日本年金機構だと、そんな事も疑いたくなります。

社会保険庁の体質を引き継いでいるのでしょうね

今回のニュースを通して興味深かったのが、日本年金機構がしている失敗が1つや2つでは無いという点です。記事に書かれただけでも、4つくらいの失敗をしています。この段階でこれだけの問題点が出てきているということは、ここにかかれていない部分でも実は数多くの問題があるのでしょう。

また、情報をオープンにするまでに時間がかかり過ぎているのも気になる点です。情報公開が遅い理由は、隠蔽工作を試みたからという可能性があるからです。

情報が出てくるまでに20日以上かかっているとなれば、何かを隠していたと思うほうが自然ですよね。実際どうなのかは分かりませんが。少なくとも、情報を精査して出してくるだけなら、数日もあれば可能なはずです。

ちなみに、情報公開が遅れたために、実害が出ている可能性もあります。別の報道によると、怪しい電話がかかってきているという事もあるようなのです。2 このままいくと、振り込めさぎの被害者が出ても不思議ではありません。

日本年金機構の職員は、原則として社会保険料の職員を引き継いでいます。状況から判断するに、年金問題で大バッシングを受けた社会保険庁の体質も引き継いでいるのでしょうね。

こうなってしまうと、外部監査のような仕組みを入れないと、チェックするのは不可能なのかもしれません。


  1. 「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」 職員も自ら認める、日本年金機構のお粗末すぎ
    J-CASTニュース 2015年6月2日 []
  2. 年金個人情報流出 問題を悪用したとみられる不審な電話も
    フジテレビ系(FNN) 2015年6月3日 []

このエントリーをはてなブックマークに追加このエントリをLivedoor Clipに追加このエントリをYahoo!ブックマークに追加このエントリをBuzzurl(バザール)に追加このエントリをつぶやくシェア

スポンサードリンク

関連した記事を読む


コメントは受け付けていません。