日本年金機構の個人情報の流出問題。このためもともと予定されていた他委員会の採決が延期されるなど審議にも影響が出ている。
個人情報の塊のような機関、とりわけ年金と言うデリケートな情報を扱っている組織から情報が流出したというのは大変な問題だと言わなければならない。そのうえで僕自身の問題意識を述べたい。
この日本年金機構が日ごろから個人情報の流出を防ぐため、どのような対応をとってきていたか、ということが重要だ、ということだ。
言い方は乱暴だが、あらゆる防護壁は100パーセント破られないと言う保証はない。
しかしながらだからといって努力をしなくていいと言うことではない。相当の努力をしていくことによって簡単には破られないセキュリティを確立することは可能だし、そのことが求められているのだと思う。
ところが、今回の事件発生以後も、この組織がどれだけの努力を払っていたのかということについては世間の関心が薄いように思う。
仮にこのような事件がどこかの組織で起きたときに、ただ事件が起きた事だけを問題にし、どれだけ防ぐ努力をしていたのかということを問題にしないと、組織の責任者たちはセキュリティ対策を向上させることの意味付けができないのではないか。事件を隠蔽し、社会と共有することをしなくなるのではないかと心配になる。
セキュリティ専門株式会社ラックが今回の事件から得られる教訓として明らかにした調査結果によれば、今回、百数十通送りつけられた標的型メールを開いたのはわずか数人だったと言う。一般的にはこうした標的型メール攻撃の場合、会社によっては半数くらいの社員が開くこともあると言う。
それを思えば年金機構の一人ひとりの職員のセキュリティリテラシーというものはある程度あったと言えるのではないかと僕は思う。
ただ、組織共有はできなかったようでそこが流出につながった一つの原因だろう。
これからも様々な組織に対する標的型サイバー攻撃は続くだろうと思う。その時に怪しいメールは開かないようにしましょう、ということを徹底することと併せて怪しいメールを見つけたら担当部門に通報しましょうということも必要だということなのだろう。
もう一つの原因は本来外部とつながっていない基幹系システムの情報が外部と接続している情報系システムに流れてしまったということだ。基幹系システムのセキュリティがあまりにも厳しいため、現場で仕事を処理しなくてはならない人たちが、本来してはならないのだが個人情報を情報系システムのファイルサーバに複製して仕事してしまっていたようだ。どんなに厳しいセキュリティシステムを作っても運用するのが面倒くさければ実際には使われなくなってしまう。
厳しいシステムを入れたからと上司はご満悦、だが実際は現場は隙だらけになってしまう、というのはどの組織でも起こりうるのではないだろうか。
ところで今回このことが発覚したきっかけは、内閣サイバーセキュリティーセンターの監視と分析によるものだった。内閣による監視システムはきちんと機能しているのだ。その情報が日本年金機構に伝えられ、対応がスタートした、ということや年金機構から被害届が出されたこと、それを受けた警視庁による捜査が迅速に行われ、原因の早期特定につながったことなどは評価すべきだと思う。
漏洩事案が起きた、ということで厳しく批判される、となると組織のトップは被害届を出しにくくなる。日本年金機構が悪くないとは言わないが、あたかも悪事を働いたかのように言われているのはやや行き過ぎだと思う。被害者という面もある。その上でこれまでどの程度の対策を取ってきたのか、を問うことが必要だ。
「平熱」で議論すること。冷静な議論と分析が力強い対策を生む、と僕は考えている。
ふるかわ 拝
(2015年6月16日「週刊yasushi」より転載)