日本年金機構の個人情報流出、エストニアだったら・・・
日本年金機構の個人情報流出について(PDF)
http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf
平成27年6月1日付け、日本年金機構からのプレスリリース。事象の内容、原因、対処状況、お客様への対応を説明した上で、「日本年金機構内に、外部有識者も含めた、原因調査、再発防止等のための委員会を設置します」としています。
(1)問題の経緯と対応
日本年金機構プレスリリースの概要は、次の通りです。
・現時点で流出していると考えられるのは、約125万件
・基幹システム(社会保険オンラインシステム)への不正アクセスは確認されていない
・電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われて情報が流出
・不正アクセスが発見された時点で直ちにウイルスに感染したPCを隔離
・契約しているウイルス対策ソフト会社に解析を依頼し、ウイルス除去を進めている
・警察に通報し、捜査を依頼
・外部への情報流出を防止するため、全拠点でインターネットへの接続を遮断
・今回の流出の対象となったお客様についてシステム上確認できる体制を確立
・該当するお客様から年金の手続きは、本人確認した上で手続きを行う
・該当するお客様には、その旨を個別にお知らせし、お詫びをする
・該当するお客様の基礎年金番号は変更する
・専用電話窓口(コールセンター)を設置
厚生労働省は、塩崎厚労省大臣の会見で、今回の問題に触れており、記者からは、マイナンバー制度への影響についての質問も出ています。
塩崎大臣会見概要 |大臣記者会見|厚生労働省 平成27年6月1日
《日本年金機構の保有する情報の流出について》
http://www.mhlw.go.jp/stf/kaiken/daijin/0000087704.html
これらを受けて、メディアでも、この問題を取り上げています。
不正アクセスで年金情報125万件が流出か NHKニュース
http://www3.nhk.or.jp/news/html/20150601/k10010099511000.html
年金機構 情報流出で対応に追われる NHKニュース
http://www3.nhk.or.jp/news/html/20150602/k10010100821000.html
年金情報流出:遮断遅れ感染拡大 新種ウイルス検知できず
http://mainichi.jp/select/news/20150602k0000m040120000c.html
私の周囲で注目されているのが、日経コンピュータの次の記事です。
日本年金機構、ファイル共有サーバーを5年以上前から運用:ITpro
http://itpro.nikkeibp.co.jp/atcl/news/15/060201844/
ルール上、個人情報をファイル共有サーバーに格納することは原則禁止。格納する際は、アクセス制限をかけたりファイルに「人に推測されにくいパスワード」を設定。どんなファイルを格納したかを一覧にして総務部に報告することを課していた。今回漏れた125万件のうち、約55万件はパスワードが設定されていなかったと。
この記事を見る限りでは、かなり不備があったようですね。
日本年金機構の情報システムについては、「公的年金業務等に関する事務にかかる特定個人情報保護評価書」を見ると良いでしょう。
特定個人情報保護評価書|日本年金機構
http://www.nenkin.go.jp/n/www/free1/detail.jsp?id=26929
・上記図の社会保険オンラインシステムの外部に、ファイル共有サーバーがある
・社会保険オンラインシステムからデータ(個人情報)を抽出し暗号化した上でCD-ROMに格納
・CD-ROMを渡された職員がパソコンでCD-ROMのデータ内容を読み取り復号化
・ファイル共有サーバーにデータを移して、業務で使用
ということのようです。
(2)標的型攻撃メールについて
今回の情報漏えいは、いわゆる「標的型攻撃メール」を原因としているようです。「標的型攻撃メール」は、「新しいタイプのサイバー攻撃」の一つですが、現在では割と広く認知された攻撃手法と思います。
標的型攻撃への対策|企業・組織の対策|国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/05.html
標的型攻撃メール対策には、発信元に問い合わせる、添付ファイルを開かない、リンク先を安易にクリックしないなどがありますが、メールを受信する側の対応(入口対策)だけで攻撃を防ぐことは難しいとされています。
「標的型攻撃メール」の対策については、IPAが詳しい資料を公開しています。
標的型攻撃メール対策のしおり(PDF)
http://www.ipa.go.jp/security/antivirus/documents/10_apt.pdf
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
http://www.ipa.go.jp/security/technicalwatch/20150109.html
『高度標的型攻撃』対策に向けたシステム設計ガイドの公開
IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/newattack.html
特に、次の「対策の考え方の整理」は参考になります。
・何が発生すると組織にとって脅威なのか
・ウイルス侵入ではなく、情報の窃取
・同じ攻撃であっても、環境や組織の形態によって脅威は変わってくる
・一部分の対策では対策に漏れや、効率的・効果的な対策が行えなくなる
・入口対策に偏らず、出口対策にも視点を当てたバランスの取れた対策が重要
・いくら万全のセキュリティ対策設備を整えても、運用ができなければ効果なし
・自分達で運用できることを念頭においた対策検討が重要
と整理した上で、「他組織の脅威をそのまま自組織の脅威に当てはめて考えるのではなく、自組織の影響を分析して対策することが重要」としています。
日本年金機構は、自組織への影響分析から始めた方が良いかもしれません。
(3)エストニアだったら・・・
つい先日の5月28日、情報通信政策フォーラム(ICPF)で、エストニア投資庁の山口功作氏を講師にお招きしたセミナー「電子行政の先にあるデジタル社会を見据えて」を開催しました。その概要について、東洋大学の山田先生からハフィンポストへの投稿もありました。
百歩先を行くエストニアと動かない日本 山田肇
http://www.huffingtonpost.jp/hajime-yamada/esthonia-japan_b_7465766.html
共通番号制度活用の先進国であり、サイバー攻撃対応のEU最前線基地でもあるエストニアであれば、日本年金機構の個人情報流出は、どうなっていたでしょうか。
まず、電子メールについては、電子署名付きのメールが普及しているので、「厚生労働省に成りすましたメール」は自動的に削除されて、職員まで届くことがないでしょう。
次に、個人情報をファイル共有サーバーに格納することは、情報管理の形態として認められないので、ファイル共有サーバーから個人情報が漏洩することもありません。
職員が組織の情報セキュリティ規定に従わず、情報が漏洩すれば、解雇されるはずなので、職員の意識も全く違います。
(4)国民に信頼されるマイナンバー制度とは
被害者の方々の不安は別として、マイナンバー制度が始まる前に、日本年金機構のような社会的影響の大きい組織から個人情報流出が起きたことは、それほど悪いこととは思いません。
むしろ、マイナンバー制度が始まる前に、たまったウミを出す良い機会になるのではないかと思います。
日本でも、マイナンバーを過度に秘匿することなく、マイナンバー制度を積極的に活用して、世界有数の「成りすましが難しい国」を目指して欲しいと思います。
上述のセミナーでは、エストニア国民の信頼を得るために「透明性」こそが最も重要であるという話がありました。
エストニアでは、「職員等による個人情報の覗き見」については、その行為が発覚し確定した時点で、「解雇しなければいけない」という法規定があるそうです。(第三者への提供があれば禁固刑)
実際、個人情報の閲覧権限がある人が「覗き見」を行い、解雇されたり、医師の資格を剥奪されたりしています。
そのために、個人を正確に識別・特定し、追跡できる仕組みが確立されています。
透明性の高いルールを定めた上で、「ルールを守れない個人には、(一発)退場してもらう」という、極めてシンプルでわかりやすいものです。
他方、日本の場合は、どうでしょうか。
大阪市で起きた、職員による戸籍情報の不正閲覧では、常習性がある職員への最も重い処分で「停職3カ月」、他の不正閲覧した職員は、減給や戒告で済ませています。
これでは、日本の自治体や政府が「覗き見天国」と言われても仕方のない状況で、国民の信頼を得ることは難しいでしょう。
戸籍情報の業務外閲覧等にかかる処分について
http://www.city.osaka.lg.jp/hodoshiryo/jinji/0000302743.html
不正閲覧した「本人」への処分が甘い一方で、監督責任があるとして「上司」には文書訓告を行っています。閲覧権限のある職員の不正閲覧は、「上司」の監督で防げるものではなく、こうした処分に意味があるとは思えません。エストニアであれば、不正閲覧した職員を特定して、「本人」を解雇するだけの話です。
もし、日本政府が、本気で「国民に信頼されるマイナンバー制度」を作りたいのであれば、今回の日本年金機構による個人情報流出から学ぶべきことは多いはずです。
速やかに「ルールを守れない個人には、退場してもらう」ための法整備を行い、それ以降の情報漏えいや不正閲覧等については、厳格に対応し、粛々と処分して欲しいと思います。
その場合、マイナンバー制度に反対する日弁連が、今度は「解雇権の濫用だ」と反対するかもしれませんが。。