年金機構の情報漏えい、組織の問題点を探る：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

遅すぎた公表

　問題点4：そもそも年金機構全体の危機意識があまりにも希薄である。5月8日に漏えいの事実を確認したにも関わらず、公表したのが1カ月近くも経ってからだ。いったい何を考えているのだろうか。もし、この程度の時間は仕方がないという感覚であるなら、筆者は疑問を感じざるを得ない。それならほとんどの状況が許容範囲になる。万一の事態を公表するための体制が年金機構で既に組み込まれていたとするなら、今回は明らかに遅い。今回のような事態は、平時から想定内の事象として業務フローで速やかに対応できるようにしておくべきである。全ての内容を公開する必要はなく、何を優先して発信すべきなのかは、よく考えれば分かるはずだ。

　残念ながらその体制は整っていなかったようだ。少なくとも2ちゃんねるのスレッドには、公表前に5月28日に投稿されていた。マスコミへの公表がその3日後というお粗末さである。もしマイナンバー情報が漏れても同じようなことになる可能性が高いと考えてしまう専門家は多い。

　年金機構は、公表が遅れた理由を「漏えいデータの範囲を見極めてから……」としているが、それはダメなことを情報セキュリティの専門家が皆お話しているはずだ。過去にも多くの企業が情報公開の仕方を誤り、倒産した。その経験が全く生きていない。しかも、今回は年金のデータである。老人にとっては生死にかかわる最重要の情報だ。

　年金機構には、「もし自分のおばあちゃんがこれで年金を奪われ、自殺でもしたら……」といったことを想像をする力がないのだろうか。最悪の事態を想定したクイックレスポンスが必要である。周囲の関係者の説得に無駄な時間を費やす暇はなく、すぐに被害者の立場で考え、対応してほしかった。

　これも日頃から指摘しているが、日本人は万一の事態を考慮した対応策を考えず、そうならない（今回なら情報漏えいをしない）ための対策だけを考える。だから想定外の事態にスムーズな対応ができない。専門家なら当たり前のことが当事者たちの間では全く実行されていないようだ。

　せめて事実が発覚したその日に「情報漏えい対策プロジェクト」を立ち上げ、それぞれの専門家（標的型メールの解析、データの保護と被害の範囲確定、マスコミ対策、根本的な対応の検討、基礎番号の大量変更採番ツールの準備、窓口の設定や番号通知の郵送、電話・メール対応などなど）を招集し、実行プランを開始する。これらを24時間以内に決めて、対応することで被害は最小限になったはずである。

「やってはいけないこと」

　問題点5：「やってはいけないこと」を性善説で考えてはいけない。「たぶん、しないだろう」という感覚があったのではないか。機構全体の問題になる禁止行為を極力検知できるシステムや、アクセスコントロールを含めたログの分析を通じて常時監視できる仕組みを堂々と導入しておくべきだった。

ところが年金機構はアクセスログ自体を解析していないと国会で答弁し、さらに驚いた。

　職員はなぜ簡単に重要なデータをDVDなどにコピーできたのか。なぜ個人や職域のサーバにあってはならないはずのパスワードなしデータが存在していたのか――。職員個人のセキュリティ意識に依存し切っていたのではないかと思えるほど、あまりにもユルい……。実際に年金機構の現場を見たわけではないが、これまでの経験からそう思わざるを得ないのである

　今後のマイナンバー制度といった個人情報を取り扱う仕組みの広がりを鑑みると、年金機構は速やかに対応すべきだ。せめて中規模の銀行並み（本来ならメガバンク以上）のセキュリティを確保してほしい。名誉を回復できるほどに懸命に努力していただきたい。心からそう願わずにいられない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。