日本年金機構が125万件の個人情報を流出させた問題で、同機構の管理のずさんさが明らかになってきた。
個人情報の一部にパスワードが設定されていなかったり、ウイルス感染の発覚後もパソコンの外部接続の遮断が遅れたりしていた。また、発表前にもかかわらず職員が2ちゃんねるに「ウイルス感染しました」と書き込みをしていたことも明らかになり、同機構の認識の甘さが浮き彫りになった。
-
日本年金機構の個人情報に関する管理のずさんさが明らかに
一部個人情報はパスワード未設定
日本年金機構の発表によると、流出した個人情報は約125万件。この数字は現時点のもので、今後さらに増える可能性がある。年金記録を管理する社会保険オンラインシステムへの不正アクセスは確認されていないが、こちらもあくまで現時点でのことだ。
同機構によると、ウイルスメールによる感染が最初に確認されたのは2015年5月8日。職員の1人が、件名に「厚生年金基金制度の見直し(試案)」などと書かれ、業務に関連することを装ったメールの添付ファイルを開いたため、ウイルスに感染した。
職員が使用していたパソコンは、個人情報を管理するサーバーに接続しているものだったため、ただちにネットワークから切り離した。さらに全職員に注意喚起を行った。
しかし18日までに、ほかの職員にもウイルスメールが届き、感染はさらに拡大。同機構は19日になってようやく警視庁に相談。28日に個人情報の流出があったと連絡を受け、さらに4日がたった6月1日にようやく公表した。
一連の経緯から透けて見えるのは、同機構の管理の甘さや危機感のなさだ。
流出した125万件のうち、55万件の個人情報にはパスワードが設定されていなかった。担当職員であれば誰でも簡単にアクセスができ、内規違反にあたる状態が放置されていたことになる。そもそも個人情報を管理するサーバーに接続するパソコンを、メール処理に使うなど外部ネットワークにつなげていることは、ほかの官公庁では考えられない状況だ。
また対応の遅さも目に付く。最初に感染が確認されたのは8日であるにもかかわらず、機構内の全パソコンを外部から遮断したのは29日になってからだ。感染が拡大していた20日間、外部ネットワークとつながっていた状況をずっと放置していたことになる。