2015年6月1日月曜日

不正アクセスで125万件の個人年金情報流出 対応が遅く被害拡大か? システム面の強化が必要

日本年金機構から、報道関係者向けの「日本年金機構の個人情報流出について」という報告書(PDF)が公開されています。今回の事件は、日本年金機構のシステムから、125万人という多量の個人年金情報が漏れるという大事件です。今後の対応として、「該当するお客様には基礎年金番号を変更する」とのことです。

  報道関係者向けの「日本年金機構の個人情報流出について」 日本年金機構
  http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

なお、2015.6.2付の朝日新聞によると、最初の問題は5月8日に発生しているにもかかわらず、問題への対応が遅れ、被害が拡大しています。また、流出した個人年金情報125万件のうち55万件はパスワードをかけていなかったとのこと。システム運用面のズサンさに驚くばかりです。


今回の事件、一職員が不正メールを開いたことで個人情報が漏れたということですが、システム運用が人任せで、システム的な対応ができていないなど、基本的な問題があります。

1. 日本年金機構のシステムにつながっているパソコンのセキュリティ対策(ウイルス対策、ソフト更新など)に漏れはなかったか?

2. 何故、最初の問題が発生した5月8日に根本的な対策が実行されなかったか? 個人任せにせず、問題を分析していれば、ウイルス対策ソフトの強化などが実施できたはず。

3. 不正アクセスされたパソコンは、東京本部内と福岡県の拠点の約40台。何故、これほどまでに、被害が拡大したのか? 何故、初期の段階で被害を最小限に抑えることができなかったのか?

4. 保管データへのパスワード入力漏れが、何故、システムで発見できなかったのか?

5. 万が一の情報流出を考え、個人年金情報を暗号化していたか?


日本の官公庁のシステム、いままでも、ホームページ改ざんが発生するなど、セキュリティ面の弱さが指摘されていますが、システム構築面、システム運用など、全体的に安全面は大丈夫なのかと疑いたくなります。

国民の大事な情報を扱うシステムが、このような状況では、マイナンバー制度のシステム構築・運用、本当に大丈夫かと疑問です。

今回の事件、その原因を個人に押し付けることなく、システム上のセキュリティ面での改善点がないか、真摯に検討した上で、官公庁の他のシステムも含め、今一度、セキュリティ面の改善を実施してもらいたいですね。


なお、上記の報告書に以下の説明があります。

『日本年金機構において、職員の端末に対する外部からのウイルスメールによる不正アクセスにより、当機構が保有している個人情報の一部が外部に流出したことが、5月28日に判明しました。現時点で流出していると考えられるのは、約125万件です。』

また、上記の報告書によると、原因は以下になっています。

『電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われ、情報が流出したものと認められます。』

また、今後の対応として、「該当するお客様には基礎年金番号を変更する」とのことです。

なお、外部からの不審な連絡があった場合の、専用電話窓口(コールセンター)を設置したとのことです。

 電話番号:フリーダイヤル  0120-818211
 受付時間:8:30~21:00 (平日及び土日)
 ※上記受付時間は本日から6月14日(日)までとし、その後の受付時間は日本年金機構HPでお知らせ。



■個人情報流出の経緯

 
 「(時時刻刻)件名偽装メールで感染 年金機構、注意喚起も徹底されず」 2015.6.2 朝日新聞

上記の記事によると、今回の個人情報流出の経緯は以下のようになっています。

つまり、最初の問題は5月8日に発生していたが、このときには、警視庁に相談せず、二回目の問題が発生した10日後の5月19日になって警視庁に相談しています。

結局、不正アクセスされたパソコンは、東京本部内と福岡県の拠点の約40台に上ったそうです。何故、これほどまでに、被害が拡大したのか、何故、初期の段階で被害を最小限に抑えることができなかったのか不思議です。

また、流出した個人年金情報125万件のうち55万件はパスワードをかけていなかったとのこと。システム運用面のズサンさに驚くばかりです。


①5月8日、ある職員のパソコンに、不正の電子メールが複数届いた。これが大量の個人情報流出の発端。職員はこのメールの添付ファイルを開いた。このとき、「情報系システム」で保管する個人情報に不正アクセスされていた。

②5月8日の不正アクセスを受け、機構は改めて全職員に注意を喚起。だが、新たな感染が発生する。

③5月18日までにウイルスが添付されたメールが大量に送りつけられ、別の職員が添付ファイルを開き、情報系システムに再び不正にアクセスされた。

④5月19日になって機構は警視庁に相談。

⑤28日になって同庁から約125万件の情報流出があったと連絡があった。

⑥結局、不正アクセスされたパソコンは、東京本部内と福岡県の拠点の約40台に上った。

<付記>
情報系システムでは、年金関係の通知を郵送するために基礎年金番号や氏名、生年月日といった個人情報をファイルに入れて保管している。ファイルにはパスワードをかける内規があるものの、125万件のうち55万件はパスワードをかけていなかった。