こんにちは。船橋市会議員の高橋けんたろうです。
最近話題となっている「年金機構情報流出問題」。送りつけられたウイルスメールを職員が開封して約125万件もの情報が流出したいうものですが、まあ内容があまりにも酷すぎるというか、私としては本当に呆れてしまいます。各報道では、サイバー攻撃による不正アクセスだとか言われていますが、全然サイバー攻撃とかのレベルではありません。識者では、玄関のカギを開けたら、目の前に通帳と印鑑が置いてありましたって話とも言われています。内容としては、送信されたメールの添付ファイルを開いてしまったもので、そのファイル名が「◯◯◯の報告について.exe」や「◯◯◯調査結果.exe」など、業務に関連するそれらしきファイル名をフリーメールで送信していたというもの。それを職員が業務関連のファイルを勘違いをして開いてしまったもの。本件の防止策としてセキュリティ会社のカスペルスキーでは、業務のメールに「exe」ファイルを使用しないことや、「exe」ファイルが添付されていたらクリックしないよう呼び掛けているというから困ったものです。

「exe」ファイルというのは、拡張子の一つで実行プログラムを実施するファイル。要するに、ファイルを開くと仕組まれたプログラムが起動するというものです。ウイルスを送る初歩的な手段として10年以上前から出回っている手法で、個人なんかであっても開いたりはしませんが、企業なんかでは専用サーバーで遮断してしまいます。これはセキュリティの中でも初歩中の初歩で、正直今時の小学生でもひっかかりません。あとは、社内の共有サーバー内に情報を保管をしてあったというもの。社会保険オンラインシステムのサーバーに直接アクセスをしたものではないですから、職員が社会保険オンラインシステムから社内の共有サーバー(端末同士をつなぐLANシステム)に情報をひっぱりこんで保管されていた基礎年金番号や氏名などの情報がファイルごと抜き取られたという内容。

以上の問題点としては2点、セキュリティに関して基本的な理解が足りない。情報管理における職員の怠慢。しかし、情報管理については大半の方が理解されていると思います。情報管理ですから管理するにはそれなりに面倒なんです。その面倒な管理の盲点を突く者はもっと面倒なんです。つまり、セキュリティ対策は手間がかかるのは当たり前。その手間を惜しんでしまうと今回のようなことがおきるわけでアナログにおいても同じことなんです。あとは、職員のセキュリティリテラシーの向上です。昨今の事例や単語などは知っているかと思いますが、なぜそうなるのか本質的な部分の理解が必要だと思います。

10月から始まるマイナンバー制度も個人情報の流出で懸念されていますが、私はこのままでは今回と同様のことがまた起こると思っています。今後、情報セキュリティの取り組みにおいても提言をして参りたいと考えています。