日本年金機構情報流出事件
日本年金機構情報流出事件とは、2015年6月に発覚した、機構が保有する国民年金や厚生年金などの加入者と受給者の個人情報が外部に流出した事件。
内規違反。55万件にパスワード設定されず
日本年金機構は2015年6月1日、職員のパソコンに外部からウイルスメールによる不正アクセスがあり、機構が保有する国民年金や厚生年金などの加入者と受給者の個人情報が外部に流出したと発表した。
機構によると、国民年金、厚生年金などの加入者に付与される10桁の基礎年金番号と氏名、生年月日の3情報が約116万7000件▽3情報と住所の計4情報が約5万2000件▽基礎年金番号と氏名の2情報が約3万1000件--の計約125万件に上るとみられる。相談を受けた警視庁は不正指令電磁的記録(ウイルス)供用容疑などにあたる可能性があるとみて捜査を始めた。
機構によると、職員のパソコンにウイルスが入ったファイルが添付されたメールが届き、職員がファイルを開け、5月8日にウイルス感染が確認された。機構は契約しているソフト会社にウイルス対策を依頼する一方、不審なメールに注意するよう全職員に通知した。
個人情報は職員のパソコンと、LAN(構内情報通信網)ネットワークでつながるサーバーに保管されていたが、機構は感染したパソコン1台だけをネットワークから切り離し、他は接続状態のままにした。その結果、18日までに十数件のメールがパソコンに届き、通知の不徹底もあって少なくとも別の職員1人がファイルを開いて感染が拡大した。19日に警視庁に相談し、捜査の結果、28日に約125万件の情報流出が判明した。機構によると、これまでのところ情報が悪用された被害は確認されていない。
また、機構は個人情報を記録したファイルにはパスワードを設定するよう内規に定めていたが、約125万件のうち約55万件には内規に反してパスワードが設定されておらず、誰でも開ける状態で流出した。ウイルス対策ソフトを使用していたが、ウイルスが新種で防げなかったという。保険料の納付や受給に関する年金情報の基幹システムである「社会保険オンラインシステム」への不正アクセスは確認されていない。
厚生労働省で記者会見した機構の水島藤一郎理事長は「お客様に万が一にも迷惑を掛けないよう、組織の全力を尽くして対応する」と陳謝した。機構は今後、情報が流出した加入者の基礎年金番号を変更し、受給などの手続きの際に本人確認を徹底するなど流出情報の悪用防止を図る。また、フリーダイヤル(0120・818211)で午前8時半~午後9時、問い合わせを受け付ける。
特定の企業や組織を狙ってウイルスを添付したメールを送りつける「標的型メール攻撃」について、警察当局が2014年1年間に防衛やエネルギー関連などの事業者を通して把握したのは1723件に上り、前年の約3.5倍に急増。犯人グループはメールを開封させることでパソコンをウイルスに感染させて機密情報を盗み出そうとしているとみられており、警察当局は警戒を呼びかけていた
「消えた」の次は「流出」か。怒りと不安
日本年金機構で125万件に上る個人情報流出が明らかになった。複数の職員がウイルスに感染したメールを開封して被害が拡大した可能性があり、記者会見した機構の幹部は苦渋の表情を浮かべて謝罪した。2007年に発覚した「消えた年金問題」も思い起こさせる不祥事に「機構はいったい何をしているのか」と怒りの声が渦巻いた。
「個人情報を流出させた事態を深くおわび申し上げる」。厚生労働省での会見で水島藤一郎理事長は頭を下げた。5月8日に不正アクセスを察知して以降、機構は職員に不審なメールに注意するよう呼びかけたが、徹底されなかった。
経済ジャーナリストの荻原博子さんは「『消えた年金』問題が発覚した当時の安倍晋三首相は『最後の一人まで解決する』と言ったが結局うやむや。いったいどう事態を収拾するのか。情報管理には最上級の危機意識を持つべきなのに、今度は情報漏れかとうんざりする」とあきれた。
日本弁護士連合会情報問題対策委員会の坂本団(まどか)委員長は「流出した年齢や住所情報などは振り込め詐欺などに十分悪用できる」と問題の深刻さを指摘する。
そして「多くの官庁が職員に不審なメールを開封しないよう呼びかけているが、それでもこうした事件は起きうるということではないか」と述べた上で、2015年10月に国民に通知が始まるマイナンバー制度について「マイナンバーは中小企業など民間も従業員らの分を保管することになる。対策が手薄なところを狙ってサイバー攻撃は必ず起きる。政府は今回の事件も参考に備えが十分か検討すべきだ」と注文を付けた。
さいたま市桜区のパート従業員の女性(71)は「消えた年金」問題の際に自身の年金も一部記録漏れが見つかったといい、「またこういう不祥事が起きると不安になるし、制度そのものが信頼できなくなる」とため息をついた。
千葉県職員の40代男性は「機構はセキュリティー対策をちゃんと講じていたのか。ちょっと信じられない思いだ。サイバー攻撃を仕掛けた人間が誰なのかも含め、早く事実関係を確認し、私たち年金加入者に開示してほしい」と語った。川崎市のIT関連会社に勤める男性(55)も「今時、よく分からないメールの添付ファイルを開いてウイルスに感染するなんて民間企業ではあり得ない。危機管理がお粗末だ。冗談ではないと言いたい」と憤った。
最近まで会社勤めをしていた東京都内在住の自営業の女性(50)は「買い物などで銀行口座を記入する時もあまり使っていない口座にするなど、個人情報が漏れないように自衛してきた。それなのに公的機関がこんなことではどうしようもない。個人情報が詰まったマイナンバー制の導入が不安だ」と話した
PC全面遮断、20日後 新種ウイルス検知できず
1日発覚した日本年金機構の個人情報大量流出問題は、業務のため加入者らの名前や住所などを移したサーバーに接続するパソコン(PC)がウイルス感染して起きた。最新のウイルスソフトを入れていたが「新種」のため検知できず、1台目の感染が発覚した後も、さらに他のPCに感染が広がっていた。専門家は機構の危機管理に疑問を投げかけている。
年金機構によると、今回流出した情報は、保険料や納付状況を管理する社会保険オンラインシステムから業務に必要なデータだけをCD−ROMなどで移したサーバーに入っていた。職員が5月8日、届いたメールの添付ファイルをサーバーに接続したPCで開封したところ、外部との不審な通信があった。この際、PCがウイルスに感染し、サーバーから情報が盗み取られたとみられる。
このPCは直ちにサーバーのネットワークから切断したが、その後も18日まで十数件の不審なメールが届き、別の職員1人も添付ファイルを開いていた。職員たちのPCはLAN(構内情報通信網)で結ばれており、最終的に数十台がウイルス感染したため、ネットワークから切り離した。この間、情報を盗む外部からの不審な通信を遮断できなかったとみられる。年金機構は28日に警視庁の指摘で情報流出に気づき、29日に外部へのインターネット接続を禁止した。
年金機構は職員に対し、以前から不審なメールの添付ファイルを開かないよう注意しており、1台目の問題発覚後も全職員に改めて注意喚起した。メールの文面は業務を装い「年金」の文字も入っていたが、よく読むと業務と直接関係ないことが分かるという。情報セキュリティー会社や警視庁は感染ウイルスを新種と判断したものの、年金機構幹部は「結果的に見れば、8日の判断が甘かったかもしれない」と振り返る。
個人情報の入ったサーバーと接続するPCで外部とやり取りする業務をしていたことが、結果的に情報流出につながった。ネットワークから切り離された社会保険オンラインシステムには影響がない。これについて年金機構の徳武康雄理事は「外部と完全に遮断されたサーバーへの保存も検討するが、作業の方法を大幅に変える必要があり、簡単にはできない」と述べた。
情報セキュリティー大手トレンドマイクロの鰆目順介・シニアスペシャリストは「個人情報を扱う端末を外部と切り離し、必要がなくなった情報は端末に残しておかないことも対策の一つだ」と指摘する。
一方、情報セキュリティー会社ラックの西本逸郎・最高技術責任者は「インターネットに接続された端末で個人情報を取り扱うのは業務上やむを得ないと思うが、5月8日に感染に気づきながら、不審な通信をシャットアウトする対策が十分取られなかったため、流出拡大につながった可能性が高い」と話した。
中央省庁などを標的にしたサイバー攻撃対応の司令塔機能を担う「内閣サイバーセキュリティセンター」(NISC)の関係者によると、5月29日に年金機構を所管する厚生労働省から相談が寄せられた。政府は1日、サイバーセキュリティ対策推進会議の会合を開き、議長を務める杉田和博官房副長官が類似手口による攻撃を調査するとともに、各府省庁や所管する特殊法人などで重要情報の適正管理を職員に徹底するよう求めた。
今回は特定組織の機密情報盗み出しを狙う「標的型メール攻撃」の可能性が高い。政府の情報セキュリティ政策会議(当時)が2014年7月にまとめた資料で、NISCが政府機関への標的型メールとみられる不審メールを確認し注意喚起した件数は、2011年度209件▽2012年度415件▽2013年度381件。2013年度は独立行政法人を狙った攻撃も多かった。最近は、事前にSNSなどで個人情報を収集してメールを送る「カスタマイズ型」が目立ち、防御しにくくなっているという。
NISCによると中央省庁の情報セキュリティー対策は統一規範・基準を設け、府省庁ごとに専門組織整備やセキュリティーに関する最高責任者の配置を求めている。省庁ごとに扱う情報の種類が異なることも踏まえ独自に情報のリスクを評価するようにもしている。
一方、2016年1月には国民に番号を割り当て、税や社会保障に関する情報と結びつけるマイナンバー制度がスタートする。内閣官房社会保障改革担当室などによると、インターネットを通じてマイナンバーを扱う可能性もあるため、外部からのサイバー攻撃で流出する恐れは否定できない。ただ、年金や税、介護などの情報は各機関が保管し、情報をつなぐネットワークシステムは外部から閉ざされているため情報が芋づる式に抜き取られることはないとしている。
これに対し醍醐聡・東京大名誉教授(会計学)は「個人情報は極力分散管理するのが鉄則だ。マイナンバーが導入されれば現在より桁違いの情報が集積され、リスクを集積する」と指摘している。
また攻撃グループ「クラウディオメガ」が関与か
日本年金機構が何者かからサイバー攻撃を受け、氏名や基礎年金番号など約125万件の個人情報が漏えいした問題。メールに添付されて日本年金機構に送られたウイルスは、2014年秋に国内の大手企業などに送りつけられたウイルスと同じ型であることが、情報セキュリティー会社関係者の話で分かった。
国内の大手商社やメーカーなどには2014年9~10月、「医療費通知のお知らせ」と題するウイルス付きメールが相次いで届き、感染した企業から顧客の氏名や電話番号などが流出した。衆院議員など約40人にもウイルスが送られ、いずれも「クラウディオメガ」と呼ばれる攻撃グループが関与したとみられる