日本年金機構が不正アクセスを受け、個人情報約125万件が流出した問題が大きな話題になっています。
件数としては、2014年ベネッセの顧客情報流出問題の推計4000万件と比べると少ないのですが、過去最悪の流出問題とも言われています。
過去最悪といわれる所以を考えてみました。
概要
一連の内容については、信頼できる各メディアからご自身で調べるのが一番ですが、私が参考にした記事もご紹介します。
分かりやすいまとめは読売新聞の記事です。
年金機構流出:3度の判断ミスで流出拡大 : IT&メディア : 読売新聞(YOMIURI ONLINE)
さらに詳しいまとめは@piyologさんの記事をおすすめします。
日本年金機構の情報漏えいについてまとめてみた - piyolog
年金機構の流出問題は、なぜ「過去最悪」なのか
冒頭でもお話ししましたが、年金機構の流出問題は「過去最悪」ともいわれています。
その理由は、
- 一般企業ではなく、政府委託の機関である
- 情報管理、流出原因、その後の対応にかなり問題がある
- 流出先が未だに特定できていない
大きく上記の3点だと思います。
1. 一般企業ではなく、政府委託の機関である
政府の委託の機関であるということは、管理している個人情報の対象は国民ということ。一般企業であれば、その企業の利用者という限定性がありますし、個人情報を企業に預けたのは利用者本人であり、問題があるなら今後はその企業を利用しないという選択肢もあるのですが、今回は日本年金機構です。
20歳以上60歳未満の国民が、年金制度に加入の義務があるので、個人情報を渡したくなくても強制的に知られていますし、削除することもできません。
また、年金受給者=高齢者の個人情報が流出しています。つまり、振り込め詐欺などの犯罪の対象になりやすい個人情報が流出してしまったことから、今後の被害が計り知れません。
ですので、ベネッセの時にはあまりなかった、「特殊詐欺に気をつけてください」といったアナウンスもニュースで頻繁に行われていますよね。
2. 情報管理、流出原因、その後の対応にかなり問題がある
パスワード設定されていたのが全体の1%未満、という衝撃のニュースが報道されていました。
年金情報流出、PW設定1%未満 ずさんな管理浮き彫り:朝日新聞デジタル
年金情報流出 不審な添付ファイル、複数人が開く 「パスワード設定なし」の内規違反も - ITmedia ニュース
「パスワード未設定は内規違反にあたり、極めて重い責任がある」と、年金機構の理事長は発言していますが、この設定数の低さから見るに組織ぐるみで常態的に違反していそうですね。
また、流出原因がメールに添付されていたexeファイルを開いてしまったことでした
東京新聞:年金情報流出 防衛情報も標的か 同種ウイルス ほか300カ所にも:社会(TOKYO Web)
exeファイルは、まず開かないようにするのがセキュリティの基本なのですが、おそらく個人情報を扱う職員にネットリテラシー(基礎知識)を教育出来ていなかった為、開いてしまったのでしょう。または組織全体がリテラシーの知識が乏しかったのでしょうか。
いずれにせよ、自分たちだけでリテラシーの知識を身につけるのが難しければ、信頼できるセキュリティ会社に協力を仰ぐなりするべきだと私は思います。
危険なファイルの種類とは Windows - マイクロソフト
ウイルス感染が発覚したあとの対処の遅さや甘さなども、普段から情報管理やリテラシーの教育を怠ってきたことに原因があるのではないでしょうか。
政府委託機関である年金機構は、国民の情報を取り扱う以上、国内最高レベルのセキュリティを導入していたり、知識をもって運営されているべきですが、そうではなかったことが分かってしまいました。
これでは、国や政府などの公共機関全てが同じようにリテラシーの低い状態だろうとも想像してしまいます。
3. 流出先が未だに特定できていない
未だに流出先が特定できておらず、真相解明までにかなりの時間がかかりそうです。
年金情報流出:追跡困難、捜査長期化か…複数サーバー経由 - 毎日新聞
ベネッセの時とはケースが違いますが、すぐに特定できるだけの把握はしていたように思います。しかし、年金機構の場合は少し違うようです。
日刊ゲンダイ|デタラメ年金機構 入力業務を“ユーレイ会社”に委託していた
真相が分からないとなると、同一犯がさらにサイバー攻撃をし続けられるということになり、とても不安です。
マイナンバー制度を導入する前に
以上、年金機構の個人情報流出問題を私なりに考えてみました。
この一連のニュースを調べていて思ったのは、個人情報を扱うのであれば、危険に晒されることのないように保護する責任があるということ。
また、国レベルでネットリテラシーが低いのかもしれないということ。
10月にマイナンバー制度が導入されるそうですが、導入より先に、まずは知識を身につけるべきだと思います。
年金機構の情報流出問題の決着がつくまでは、マイナンバー制度導入開始は見送るべきでしょうね。
日本はネットリテラシーが低いと色々なところで指摘されているようです。
スマホが普及し、無料Wi-Fiスポットはたくさんあり、ネット通販が当たり前になりました。今や、ネットリテラシーは個人にも必要です。
しかし見ての通り、政府関係機関でさえリテラシーが乏しいとなると、残念ながら自分の大切な個人情報は、自分で知識をつけ、守っていくしかないようです。悪用されて一番困るのは被害者ですから。
ネットリテラシーを勉強しましょう
良い機会ですので、ネットリテラシーを勉強してみてはいかがでしょうか。
私も知識がまだまだ乏しいので、勉強を続けたいと思います。
ちょうど無料で講義を受講できるgaccoで、"情報セキュリティ『超』入門 "(※受講期間は2015年7月16日(木)まで)という、タイムリーな講義があります。今回、年金機構が受けた標的型攻撃メールの説明もありましたよ。
また、iPhoneのセキュリティ設定の記事を過去に書いています。
宜しければ、以下の記事もおすすめです。
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」:IPA 独立行政法人 情報処理推進機構
年金情報流出は他人事じゃない 職場のPCで気を付けるべき、セキュリティ管理の基本6ポイント|ウートピ
年金機構は氷山の一角、少なくとも300カ所に侵入済み、報道機関にもクラウド事業者にも -INTERNET Watch