日本年金機構の情報流出…マイナンバーは「絶対安全」か

このエントリーをはてなブックマークに追加

過去最大の個人情報流出事件

マイナンバー制度を担当する甘利明社会保障・税一体改革担当相は6月2日の閣議後記者会見で、年金情報の大量流出問題が、マイナンバー制度の導入スケジュールに影響を与えるか問われ、「変更予定はない」と話した。

マイナンバーのデータベースは業務用のシステムと別に管理され、「厳重なファイアウォールで隔離されている」と強調。「今回の事案を検証し、絶対にこういう事案が起こらないよう対処していく」と話した。(ITmediaニュース2015年6月2日 19時01分更新)

日本年金機構から、およそ125万件もの個人情報が流出した事件。この事件は新聞やTVなどのマスメディアで連日大きく取り上げられ、過去最大の個人情報流出事件を招いた日本年金機構に対する批判が高まっています。

報道されている内容を総合すると、今回の個人情報流出事件は以下のような経緯をたどったようです。

  1. 日本年金機構宛に何らかのファイルが添付されたメールが届く
  2. 複数の職員がそのメールに添付されたファイルを開封する
  3. ファイルの中身はコンピュータウイルス、開封した職員のパソコンがウイルスに感染してしまう
  4. ウイルスに感染したパソコンを通じ、個人情報が保管された共有サーバーに外部からアクセスされてしまう
  5. 共有サーバーから年金加入者の「基礎年金番号」「氏名」「生年月日」「住所」が窃取される

ウイルス対策の不備職員への情報セキュリティ教育の不足保管している個人情報にパスワードもかけない杜撰さ等、日本年金機構の情報管理体制が疑問視されています。それと同時に、来年1月から本格運用が始まる予定のマイナンバー制度に対しても、国民から不安の声が上がってきています

制度の開始当初は「税・社会保障・災害対策」の分野に利用目的が限られているマイナンバー制度ですが、その後は医療等分野にまでその範囲を拡大する計画であると報道されています。また、政府の歳入増の一環として、マイナンバーを使った高額所得者の資産把握強化も検討されているようです。

仮にマイナンバーが流出するようなことになれば、基礎年金番号等の流出とは比べ物にならないほど重大な事態に陥るのは明白です。担当大臣は「絶対にこういう事案が起こらないよう対処していく」と発言していますが、本当に大丈夫なのでしょうか?

行政機関等にも定められている「ガイドライン」

マイナンバーを扱う事業者向けに編纂された「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の内容については、以前のエントリーで取り上げました。

マイナンバーや特定個人情報の取り扱いについて指針を定めた「ガイドライン」は、地方公共団体や行政機関などについても同様のものが用意されています。それが「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」です。(全文はこちら

その内容ですが、全体としては「事業者編」と大きく異なるところは有りません。「個人情報保護条例との関係」や「地方公共団体情報システム機構に対する提供の要求」といった独自の項目は有るものの、マイナンバーの利用制限や安全管理措置といった重要な要素について記されている内容は「事業者編」とほぼ同じです。

日本年金機構の一件は、「行政機関等が保管している個人情報が外部に流出した」という事件です。このような事態がマイナンバー制度で起こるのを防ぐため、ガイドラインでは安全管理措置を定めています。

その内容について少しおさらいしましょう。ガイドラインでは、以下の六つの視点で安全管理措置を分類しています。

  • 基本方針の策定
  • 取扱規定等の見直し等
  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

ガイドラインが提示している安全管理措置によって本当にマイナンバーの流出を防げるのか、日本年金機構の事件に即して簡単に検証してみます。

安全管理措置こそ定められているものの…

まずは、「職員がメールに添付されているファイルを安易に開封した」件について。このような事態を防ぐのに必要なのが、取扱規定等の見直し等人的安全管理措置です。ガイドラインに沿って考えると、具体的な対策として「電子メールに添付されたファイルを安易に開封しない」と取扱規定に定めることや、担当者に対して情報セキュリティ教育を実施することなどが挙げられます。

外部からの不正アクセスの検知」の段階においては、組織的安全管理措置をとることになります。具体的には、情報システムへのログイン実績やアクセスログの記録を残したり、情報漏えい等事案に対応する体制を整備することが定められています。

パソコンがウイルス感染し、そのパソコンを伝って外部から不正にアクセスされた」件についてはどうでしょうか。これについては、担当大臣が記者会見で発言したように「情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置する」ことや「情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する」といった技術的安全管理措置を施すことになります。

最後に「情報漏えいが発覚した後の対応」ですが、これに対しては組織的安全管理措置を講じることになります。すなわち、事実関係の調査及び原因の究明本人への連絡再発防止策の検討事実関係等の公表といった対応を行います。

以上の検証の結果を踏まえる限り、少なくともガイドラインにおいては、マイナンバーの外部流出への予防と情報漏えい発生時の対応について、或る程度の備えはできていると言えそうです。

しかし物事に「絶対」は有りません(担当大臣は、立場上はっきりと言えなかったようですが)。たとえウイルス対策ソフトを導入していても、そのソフトに定義されていない新種のウイルスに侵入されてしまえばそれを検知することなどできません。また担当者に対して何度教育を繰り返したところで、怪しげなメールの添付ファイルを「ついうっかり」で開封してしまうことも有り得ます。

仮にマイナンバーの外部流出が起きてしまえば、被害に遭った当人は強い不安にさらされることになります。マイナンバーの悪用に対する不安の大きさは、基礎年金番号のそれとは比べ物になりません。被害者にしてみれば、いくら事後の対策がとられたところで「自分の個人情報が赤の他人の手に渡ってしまった」という事実に変わりは無いのです。

日本年金機構の件では、情報セキュリティに対する職員の意識の低さと、情報漏えいに対する組織体制の不備について特に批判が高まりました。言うまでも無い事ですが、日本年金機構もマイナンバーを取り扱う「行政機関等」の一員です

現在の組織体質のままであれば、マイナンバーについても同様の事件が再発するという懸念はぬぐえません。もしそうなってしまえば、マイナンバー制度への国民の信頼は地に落ちてしまいます。同時に、制度に対する不平不満も一気に表面化してしまい、同制度を廃止に追い込もうとする動きが加速してしまうかもしれません

マイナンバーは、住所氏名をはじめとする数多くの情報と紐付けられた、極めてセンシティブな個人情報です。そのような重要情報を扱う責任の重さを、行政機関等で働く職員に改めて認識してもらいたいものです。