/

年金情報流出問題 検証委員会の報告書要旨

1.検証の概要=略

2.本委員会が認定した事実

日本年金機構への攻撃に先立つ4月22日、厚生労働省年金局と地方厚生局に対して標的型メールによる攻撃が行われた。年金局の職員が添付ファイルを開いて端末が感染し、不正な通信が発生。これを検知した内閣サイバーセキュリティセンター(NISC)からの連絡を受けて、約2時間後に通信を遮断した。

感染した端末が通信したサーバーのドメインは、5月8日に感染した機構の端末が通信したサーバーと同じだった。4月22日の段階で機構も含めたネットワークでドメイン単位のブロックをしていれば、5月8日の不正な通信は防げた。

5月8日、機構の公開メールアドレスに不審なメール2通が届いた。職員がメールを開いて端末が感染し、大量の不正通信が行われた。不正通信は端末からLANケーブルを抜くまでの約4時間続いた。この攻撃で職員のメールアドレスが外部に漏れて、次の攻撃に用いられた可能性が高い。

5月18日には100人を超える機構職員のアドレスに標的型メールが届き、3台の端末が感染。20日にも5通のメールが届き、1人の職員がメールを開いた。その1台の端末を起点に26台に感染が広がった。

20日から23日までに合計27台の端末から不正通信が発生し、個人情報が流出した。この過程で機構の端末とサーバーの管理者権限も奪われた。

28日に流出データを発見したとの連絡を警視庁から受け、ようやく機構全体のネット接続を遮断した。機構のメール専用回線は6月4日まで遮断しなかった。

3.本件攻撃と情報流出の原因

機構と厚労省のいずれもサイバー攻撃に対応する体制が整っておらず、情報の大量流出につながった。標的型攻撃に対する意識が足りず、人的体制と技術的な対応が不十分。攻撃の発生後には現場と幹部、あるいは関連組織間に情報や危機感の共有が無く、場当たり的な対応に終始した。

機構は内部の情報セキュリティーの専門家を活用せず、また外部の専門家にアドバイスを求めなかった。緊急対応にあたる組織やマニュアルもなかった。システムの運用委託会社との契約でも、緊急時のサービス内容を明確に決めていなかった。

機構のなかで情報共有ができず、組織横断的な対応ができなかったのは、かねて指摘されている機構のガバナンス(組織統治)のあり方が関係しているとみられる。

実際に、現場の職員はやってはいけないと知りつつ、ネットにつながるフォルダに個人情報を大量に保管していた。幹部は現場を知らないまま長い時間がたち、膨大な個人情報がネットにつながるフォルダに積み上げられ、情報流出の重要な要因になった。このフォルダの調査には長い時間を要し、その全容が明らかになっていない。

官民を問わず他の組織では考えられない対応で、国民の個人情報を扱う組織としてはあるまじきことだ。組織の一体感の無さがあらわれた。

フォルダ上では重要な個人情報が暗号化されずに保管されていた。しかもリスクを回避するためにパスワードを設定するなどのルールも守られず、それを点検・改善する仕組みもなかった。

厚生労働省の体制も到底十分とは言いがたい。情報セキュリティーの担当者はわずか1人で、通常の人事異動で替わる職員だった。また機構のシステムについて、厚労省のどの部署が監督するのか不明確だった。

4.再発防止策の提言

機構では十分な判断力のある責任者のもとにセキュリティー対策本部を設けて、役職員の役割や権限を明確にすべきだ。

国民の個人情報はネットから遮断し、やむをえないものは分割して厳格に管理すべきだ。その際、実情を知って現場が守れる規則をつくり、つくった規則は必ず職員に守らせることが必要だ。

外部の専門家による情報セキュリティーの監査や、職員への教育訓練の徹底が必要だ。

厚生労働省もセキュリティー情報が集中する情報政策担当参事官室を質量ともに充実することなどを早急に実施すべきである。機構のシステムに対しても担当部署を速やかに決めるべきだ。

緊急時に情報政策担当参事官室にすぐに第一報が入るようにする。5月8日の攻撃でもNISCの通報が同室を通じ機構の担当部署に伝わるのに約2時間半を要した。

今回の検証を通じて、機構のまとまりと自覚を欠いた姿が目に付いた。検証委員会の調査を受けるにあたり、一部の者が重要な資料を出し渋り、黒塗りするなどの態度を取った。その後改まったとはいえ論外である。

春割ですべての記事が読み放題
今なら2カ月無料!

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
春割で申し込むログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
春割で申し込むログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
春割で申し込むログイン