日本年金機構は2015年6月1日、職員の端末がサイバー攻撃を受け情報が約125万件流失したと発表しましたが、発覚は5月初旬までさかのぼります。(中旬ではなく、5月8日の初旬でしたね、GW明けの業務でだれてたじゃ済みませんけど:6月3日訂正)
さらにおそまつなのは、サイバー攻撃を受けたと説明していますが、職員が「添付ファイル」を開いたことによりウイルス感染し、情報が漏えいした「初歩的な人為的ミス」である事です。(同月2日にはメールの外部リンクをクリックで感染のニュースも出てきましたがどちらにせよ初心者レベルです)
では本題です
外部につながるパソコンで年金情報作業を行う時点でアウト
今回の問題、サイバー攻撃があったとしてニュースを良く見て見ると、
職員が「添付ファイル」を開いたことによりウイルス感染して拡散した人為的ミスじゃないですか。
あやしい「添付ファイル」は開いてはダメと小学校でも教えていそうな初歩的なミスであきれますが、
そもそも外部接続されたパソコンで国家レベルの最重要な個人情報を作業している点。
しかも、重要な個人情報を大量に置いてある共有サーバーに、他のPCもつながった状態で作業する時点でセキュリティに対する認識が相当あまいです。
最重要な情報を置いているサーバーにアクセスする際は、そのサーバーが外部につながっていない完全なスタンドアローン(ウィキペディアより)が絶対条件です。(メールのやりとりなら別のパソコンから行う事)
そして今回事態をさらに悪化させたであろう事は、発覚(感染)したその日にネットを遮断せず、5月下旬までネット接続を継続していた点です。
ちょっと知識のある初心者の方なら、「感染でやばい」と思った時点でLANケーブルを引っこ抜くでしょう。それも分からない集団なのかと不安が増します。
こんな管理体制でマイナンバー制度を施行しようとしています。
先月にはついに医療分野への番号付帯が2020年をめどに方針決定しましたが、
付帯項目を増やす前に優秀な人材増やす方が先だと思いますが。
小規模修正について(2015年6月6日)
参照記事の大元リンクが記事公開からわずか2日でNHKニュースから消えた為、引用も修正いたします。
引用は基本的に大元の記事が存在する事が一応条件にありますので、
記事は他から代用して内容はなるべく変えずに修正いたします。ご了承ください。
今回の件でどこからか圧力でもかかったのでしょうか?いやですね・・・。
一応書いて置きますが、当ブログに「記事の訂正」を求められた訳ではありません。
NHKニュースの紹介リンクが突如消えた為の修正ですので誤解しない様お願いします。
マイナンバーで医療情報も管理 政府が方針決定(NHKニュースより)(リンク記事消失)
ついでに書いておくと、この放送があったのが2015年5月29日とされています。
と言う事は、日本年金機構はこの時点で情報漏えいによりパニックになっていた時だと推測します。
(つまり、漏えいがあったのに発表しなかった事になります)
引用記事削除(2015年6月6日削除)
「電子カルテなどの情報を通じて医療革新が行われることが期待される。患者の利便性の向上や新たな関連産業の創造、それに社会保障費の削減と合わせて一石四鳥の効果が得られるのではないか」
マイナンバーで医療情報も管理 政府が方針決定(NHKニュースより)
代用引用記事(2015年6月6日追加)
政府は29日、カルテや診療報酬明細(レセプト)などの医療情報に番号制度を導入する方針を正式に決めた。税と社会保障の共通番号(マイナンバー)のシステムと医療関連のシステムを連動させる仕組みを、2018年度から段階導入。医者らが個人の診療結果や処方薬の情報を共有できるようにして、二重の投薬や検査を避ける。戸籍や旅券、自動車登録などにも共通番号を幅広く活用して国民の利便性を高める方針を確認した。
医療に番号制、18年度から政府決定マイナンバー連動(日本経済新聞電子版より)
今回の様に膨大な情報漏えいがあった場合、悪用する側にも同じ事が当てはまる事を忘れないでください。
そして、万が一情報漏えいがあった場合、その犠牲になるのは国民です。
お忘れなく・・・。
さらに書けば、末端の開業医や処方箋を出す薬局に電子カルテがあと約5年で普及しますか?
無理な気がしますけどね。
マイナンバー制度施行開始にずれ発生か
これは発表がないので推測で書きますが、日本年金機構は流失被害にあった該当者に対して、
「基礎年金番号」(ウィキペディアより)を変更の上万全の処置とありますが、まあここまでは当然でしょう。
問題は2016年1月を施行予定としてきた設定時期がずれるのではという推測です。
(もともと知名度が低い為、今回の件がなくても遅れていたでしょうが)
約125万件という途方もない数が流失し、この基礎年金番号を紐付けしてマイナンバー制度が進められてきたはずですので、膨大な事務処理が発生するはずです。
最低の手順だと思いますが(あくまで個人の推測です)、
- 状況詳細確認
- 情報漏れのあった方へのお詫び通知(恐らく郵送)
(TELやメール、訪問は絶対あり得ませんので気を付けてください) - 約125万件分の基礎年金番号再発行
- 漏れがないか再確認徹底期間
- 状況確認完了
- 最終報告
- マイナンバー紐付けやり直し(約125万件)
と並行作業も当然あるでしょうが、2015年10月から順次発送通知を予定していた為、残り約5カ月で約125万件の作業を行い、情報管理の整備や徹底(サーバー配置など)を行わなくてはならず、スケジュール的にはかなり無理がありますし、国民の不安が残ったまま施行しても浸透は相当難しいと思います。
参照リンク
・不正アクセスで年金情報125万件が流出か(NHKニュースより)
・日本年金機構にサイバー攻撃・・・(IT Proより)
・日本年金機構プレスリリースより(PDFファイル)
まとめ
セキュリティは管理体制とスキルで決まる
あくまでサイバー攻撃としたい様ですが、完全に人為的ミスです。
ウイルスなんて数えきれないほどありますので、注意されていたにも関わらず、
添付ファイルを開いた職員のPCスキルは初心者レベルでしょう。
もちろんすべての職員ではないでしょうが、国家の中枢に位置する機関にこんな低レベルの職員や、
管理体制の元に年金が管理されていると思うとぞっとします。
また、こんな管理体制の元、「マイナンバー制度」を施行しようとしていますので、
付帯情報が多いマイナンバーで情報漏れがあったらこんな規模では済まないでしょう。
施行して、総人口約1億人の情報が番号となっていもづる式に抜き出される事が100%ないとは言えないからこそ、
今回の件を教訓とし、マイナンバー制度も見直してほしいものです。
最後に付け加えるなら、今回の情報漏れで件数の発表はありましたが、漏れた情報が現在年金を受給されている方のものなのか、今現在、納めている人なのかその発表がありません。
調査中なら仕方ないですが、この辺もおそまつ極まりないと思います。