【年金情報流出】職員のメール禁止?年金機構の「見当違い対策」に高まる不安

 日本年金機構のPCが攻撃を受け、個人情報の大流出を招いた事件に関し、日本年金機構は「当面の間、職員の外部とのメールを禁止した」と発表した。これにより、余程の大改革が行われない限り、日本年金機構や、同レベルの危機管理能力しか持たない役所の類は、今後も繰り返し同様の被害に遭い続けるだろう事が予測される。この一件により、日本の “お役所” は、いざという時の備え・知識・訓練が致命的に足りていない事が満天下に示されてしまった。自分達の扱う情報がいかに重要な物かという自覚があれば、ここまで愚策に愚策を重ねる事はなかったはずである。

●年金機構がマシな組織なら被害は最小限だった?

 今回は最初にメールを開いて怪しいデータをDLしてしまった人間が特に非難を受けているが、それよりもその後の組織としての対応が全て間違っていた事の方が致命的である。通常のウィルス対策と同様の「最初に感染したPCだけ隔離する」といった手法も間違いなら、問題が発覚しているのに大々的にネットワークを遮断する事もなく、個々にウィルスソフトを走らせるなど呑気な事をしていた点もマズイ。年金機構は感染源の特定だけは出来たようだが、その後の二次三次的に感染したPCがどれなのか突き止める方法を知らなすぎた。

 これが気の利いた民間企業であれば、ヤラかしたと気付いたら、まず社内のすべてのPCをネットワークから遮断し、怪しい挙動を見せるPCがないか丁寧に調べて行っただろう。また、ウィルス駆除ソフトを走らせるなどもってのほかである。それをやってしまったら攻撃を受けた痕跡も消してしまい、感染ルートを追跡出来なくなってしまう。ちなみにウィルスのタイプによっては、駆除ソフトを動かしても何かしら潜伏し続け、しばらくして再度発症・伝染する場合もある。

 今回の年金機構の対応は、よくあるイタズラ的なウィルスへの対策としてはそれなりだったが、自分達が重要な情報を扱う立場にあり、だからこそ最先端の、より凶悪なウィルスで攻撃されるという事を想定しなさ過ぎたのだ。だが、これは年金機構だけの問題ではなく、またITやPCの知識の欠如だけが要因とも言えない。何よりも “日本的な組織づくり” に共通する欠陥なのである。どういう事かというと、お役所を含めた日本的な組織は原則として事なかれ主義であり、言い換えれば内にも外にも隠蔽体質である。何か小さいミスがあっても上役の耳に入り辛く、上が気付いた時には手遅れで大惨事という事例が過去にいくつもあった。

 大鉈を振るう実権を持つ人間に情報が伝わらないのだから、当たり前だが万が一の際の対応は遅れに遅れる。そしてもう隠し切れない、ダメだ、となっても外部に情報が漏れてはマズイと適当な隠蔽をする。仮に年金機構がマシな組織だったならば、感染源となった職員も即座に打ち明けられ、被害は最小限に止められただろう。

「早いタイミングでよく教えてくれた、ありがとう」といった当然の対応が出来る上司の下ならば、妙な自己保身など考えなくて済むからだ。これが逆に 「何て事をしたんだ、腹を切れ」的な対応しか出来ないダメ上司の下にいたら、ミスを明かす事も出来ない。こういうケースは社員や職員個人のミスではなく、組織全体の欠陥こそが要因と見ねばならないのである。

 これだけでは単なる “オカミ嫌い” の偏見だと思われるだろうから、最近起きた別の流出事件を取り上げてみよう。まだ記憶に新しいベネッセの情報流出事件だ。あの事件がなぜ表面化し、あそこまでの大問題に発展したかと言うと、それはベネッセ自ら告発したからである。ベネッセは被害に気付いて独自に調査をし、被害を特定し、また犯人を追跡し、告発に及んで世間の知る事となった。それと比べると、年金機構は国民の命に関わる情報を扱っているのに、民間企業以下の対応しか出来なかった。ベネッセを持ち上げるつもりはないが、今回と比べたらかなりマシだったと言うよりない。

 この一件で、日本のオカミがいかに無策・無防備かが伝え広められたのだから、今後は他のお役所も攻撃対象になるだろう。 それを防ぐ為には、重要な情報をいかにガードするかを考え、より最善の策を急ぎ実行するしかない。それなのに、日本年金機構は「職員のメール利用を禁止しました」と、「そうじゃないだろ」とツッコミたくなるような見当違いの対策を発表した。これはもはやギャグの域であり、データ管理・運用の早急な改善など求められないと宣伝しているようなものである。悪い事は言わないから、今すぐ個人情報の記録を紙に戻し、データはすべて破棄しよう。それの方がいくらかマシである。

 最後に、例として「絶対に外部にデータを漏洩する訳にいかない会社」がどのように情報を守っているか紹介しよう。取り上げるのはAVメーカー(及び編集所)だ。AVはモザイクをかけねば国内に流通させられないので、撮影したデータを社内のPCに取り込んで編集作業をする。しかし修正前のデータが外部に漏れ、バラ撒かれては大問題なので、万が一を考えて編集用のPCはネットワークから外しておく。ただし、映像や音声のフリー素材などを共有する必要があるため、編集用PC同士をネットワークで繋ぐ事はあるが、外部または外部と繋がっているPCとは絶対に繋がない。これは2000年頃にはすでに「そうしましょう」と当たり前の事として行われていた最低限の防御法だ。

 税金で食っているご身分のクセに、そしてだからこそより重要な情報を扱っているクセに、AVメーカー以下の対策しか講じられないとは、日本のお役所には責任や恥という概念がないのだろうか。

Written by 荒井禎雄

Photo by 日本年金機構ホームページ

我々はアノニマス 天才ハッカー集団の正体とサイバー攻撃の内幕

狙われるお役所。