24
(画面は日本年金機構のWebサイトより)

昨日から報道で話題となっている日本年金機構からの個人情報流出事件について、まとめておきます。

まず、日本年金機構とは、旧社会保険庁を廃止した後に新設された特殊法人であり、国民年金、厚生年金などの手続きを全て行っています。また、全国健康保険協会(協会けんぽ)の資格取得などの取扱いについても、窓口としての業務を行っています。したがって、事実上ほぼ全ての成人国民と、一部の扶養家族の個人情報を扱っている団体と言えます。

今回流出した情報は、年金加入者の「基礎年金番号」「氏名」「生年月日」など約125万件であり、そのうち約5万件に関しては「住所」も含まれていたそうです。

原因としては、外部からの電子メールに添付されていたウイルスを開いたことによる不正アクセスとされています。まだ詳細は分かっていませんが、下記のような流れのようです。
(1)同機構の職員のメールアドレスに複数のウイルス付き電子メールが送信された
(2)福岡の事務所で使用されていたパソコンでメールが開かれてウイルスに感染
(3)機構内部の複数のパソコンがウイルスに感染し、不正アクセスの踏み台になった
(4)共有サーバーに保存されていた加入者のデータが外部に送出された。

同機構では、緊急にインターネットとの接続を遮断するなどの対策を取ると同時に、対象となる加入者にお知らせを送付し、基礎年金番号を変更するなどとしています。

http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

(私のコメント)
上記の情報からすると、一番大きな問題は(4)の「共有サーバーに加入者の大量のデータが置いてあった」ということじゃないかと思います。データベースで管理された加入者の情報こそが守るべきものであり、そこから書きだされたデータが何らかの形で共有サーバーに保存されていて一般の職員のアカウントでアクセスできたというのでは、セキュリティの原則の初歩の初歩が実践されていなかったということになります。




●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)