社説 20150822 年金情報流出　危機感の欠如が被害を広げた

膨大な個人情報を扱う組織とは思えない。ずさんな情報管理体制を改めることが急務である。

　日本年金機構から受給者の基礎年金番号など１２５万件の個人情報が流出した問題で、機構の内部調査委員会と厚生労働省の検証委員会が、それぞれ報告書を公表した。

　機構の報告書によると、５月８～２０日にウイルスを仕込んだ「標的型メール」計１２４通を受信した。うち５通の添付ファイルなどを職員が開いてパソコン３１台がウイルス感染し、２１日から３日間で一気に情報が流出した。

　この間、機構が被害を食い止める機会は何度もあった。

　だが、最初のメール受信後に送信元アドレスの受信拒否設定をしなかった。メール受信者に添付ファイル開封の有無をきちんと確認せず、機構全体のインターネット接続を遮断する措置も遅れた。

　機構の水島藤一郎理事長は記者会見で、「開封したかどうかの確認は行われていると思っていた」と釈明した。担当者任せの甘い対応ぶりがうかがえる。報告書が「危機感が十分ではなかった」としたのはもっともだ。

　ずさんな情報管理が常態化していたことも問題である。

　必要があれば、インターネットに接続された共有ファイルサーバーへの個人情報の保存を認められていた。常に情報流出の危険にさらされていたと言える。

　パスワードの設定といったルールが守られず、機構が実態をチェックする仕組みもなかった。

　報告書は、組織の一体感の不足など、旧社会保険庁からの「積年の問題」が根底にあると分析した。旧社保庁では、本庁と地方など採用の異なる職員の「３層構造」が統制の欠如を招き、年金記録漏れなどの不祥事につながった。

　悪あしき体質が残っているのだろう。情報管理体制の強化に加え、組織の抜本改革が求められる。

　厚労省の責任も重大である。

　検証委員会の報告書によると、機構の情報システムに関する厚労省の担当部署が不明確で、適切な指揮監督ができなかった。

　機構が標的型メールを受信する前の４月に、類似の攻撃を受けていたにもかかわらず、情報提供や注意喚起を行わなかった。

　塩崎厚労相が「けじめは機構も厚労省もつけなければいけない」と述べたのは当然だ。再発防止を徹底し、年金制度への信頼回復に努める必要がある。

　巧妙さを増すサイバー攻撃に対し、官民で対策を強化したい。