日本年金機構がサイバー攻撃を受け約125万件の年金情報が流出した問題の原因究明と再発防止策を検討するために厚生労働省が設置した「日本年金機構不正アクセス事案検証委員会」の第1回会合が、本日(6月8日)開かれた。
今回の情報流出が発生・拡大して大量の個人情報流出に至ったことに関して、年金機構の管理体制や対応の杜撰さが次々と明らかになっており、機構の対応の問題点とその原因を明らかにすることも当然必要だ。
しかし、何といっても、今重要なことは、今回発生した年金個人情報の大量流出という事態に対して、情報流出によって年金業務の現場が重大な影響を受けている事態は全く収拾できておらず、今後の展開如何では、年金加入者の国民に対して、さらに重大な不利益が生じる可能性も否定できないということである。
最大の問題は、本件個人情報流出問題に対して年金機構や厚労省が講じている対応策が果たして適切なのかという点でなはいか。
厚労省と機構が明らかにした対応策は、①情報流出した基礎年金番号をすべて変更する、②基礎年金番号変更の通知は、電話ではなく文書を郵送して行う、というものである。しかし、それらの方法が、本件情報流出に対する対策として果たして適切なものと言えるのだろうか。
流出した情報が悪用され、国民に年金の不正受給や詐欺等の被害が発生することを防止するためには、流出した情報が真実の情報ではないという状況にするしかない。流出した個人情報のうち、個人の住所、生年月日は勝手に変えることはできないのであるから、年金当局ができることは、基礎年金番号を変更すること(①)しかない。それしか選択肢はないので、情報流出の公表と同時に、その方針を公表したということであろう。
また、年金機構からの電話での通知という方法をとると、機構を語って電話をかけ、詐欺などに悪用される恐れが高いことから、電話はかけないことにし、文書を郵送する方法(②)で基礎年金番号の変更を通知するということであろう。
これらの方法をとれば、年金個人情報の大量流出に関連して問題が発生した場合、「二次被害」についての機構や厚労省の言い訳にはなるであろう。しかし、果たして、年金加入者、受給者の不利益を防止することに関して合理的と言えるであろうか。
まず、基礎年金番号を、年金機構が一方的に変更し、その旨の文書を郵送して通知する、というのだが、その通知を受けた人が、それによって、基礎年金番号の変更を正しく認識するとは限らない。郵送された文書を見ない人も少なくないであろう。また、文書で通知するにしても、どのような様式の文書で届くのかもわからない。(それが公表されると詐欺犯人にも使われてしまう可能性がある。)
そのように考えると、年金機構が、すべての基礎年金番号を変更し、それを文書の郵送で通知するという方法によって、新たな基礎年金番号として年金加入者に認識させることは容易ではない。
しかも、本人認証の手段としても使われてきた基礎年金番号は、金融機関等に自主的に申告されていることもある。年金機構以外の公私の団体に情報として把握されている基礎年金番号の情報について、それら公私の団体に変更通知を行って、番号の情報を更新させることは、容易ではない。
基礎年金番号は、20歳以上の国民と、勤労者すべてに通知されているはずだが、基礎年金番号の通知を受けた記憶すらないという人も少なくないはずであり、実際にどの範囲の国民が番号を認識・把握しているのか不明だ。
②の郵送通知は、年金機構の職員を語った電話による詐欺の防止には効果的である。しかし、文書による一方的な通知では、相手方の認識・理解が確認できない。結局、変更された基礎年金番号が、どのように認識されているかを確認できないままでは、その後の基礎年金番号の取扱いに大きな混乱を招く。
「情報流出した全ての基礎年金番号の変更」「変更通知は文書で郵送」という措置をとることは、125万件の年金個人情報流出問題の公表と同時に公表されたが、その方針は、果たして、年金業務の現場の状況を踏まえ、実際にそれを行うことの困難性を考慮した上で行われたのであろうか。それが、実務的に可能なことなのか、それを行おうとした場合に、現場にどのような混乱が起きるのか、その点を、実際に年金業務に従事している現場の声を聞いた上で決定したものなのであろうか。
前のブログ【年金機構個人情報流出事件は、外部機関による監視をなくした安倍政権の大罪】でも述べたように、2014年3月末で廃止された総務省年金業務監視委員会では、「運用3号問題」「時効特例給付に関する問題」「失踪宣告者に対する死亡一時金の給付に関する問題」など年金業務に関する様々な具体的事案を取り上げ、日本年金機構の年金業務と、年金に関する制度構築と監督の役割を担う厚労省の問題を指摘してきた。それらの事案に共通していたのは、機構幹部や厚労省年金局が、年金業務の現場の状況を把握することなく決定を行い、それを上命下服で現場に押し付けていること、そして、それによって生じている問題を、機構幹部と厚労省年金局が全く把握していない実情であった。
それと同じことが、今回の情報流出が明らかになったことを受けての機構と厚労省の措置にも言えるのではないか。
年金機構の職員における非正規職員の割合が増加し、業務の多くはアウトソーシング化されるという状況の中で、責任をもって適正な年金業務が維持できるのか、という問題は、総務省年金業務監視委員会でも、様々な問題事例の発生を踏まえて指摘してきた。
そのようにして、以前から、年金業務の現場の対応能力が限界に近い状態にあったところに、今回の問題が発生したことで、年金事務所には苦情や非難の電話が集中している。情報漏えいについての問い合わせには休日出勤して対応をせざるを得ない、基礎年金番号の変更の通知の業務、それに関する情報の修正の業務も重なる。
年金事務所など現場の混乱と疲弊が極限に達していることは想像に難くない。このような状況で、適正な業務を維持することは「神業」に近いと言うべきであろう。
不正アクセスによる情報流出の原因究明・再発防止も極めて重要なことである。しかし、今、それ以上に重要なことは、今回の情報流出への対応による現場の混乱で年金加入者に重大な不利益が生じることがないよう、有効かつ合理的な対策を講じることである。そのためには、年金事務所等の現場の声を聞いて、状況を把握することが不可欠だ。
(2015年6月8日「郷原信郎が斬る」より転載)