年金記録がなくなってしまったことで大有名な日本年金機構は、職員の端末がサイバー攻撃を受けたことで、加入者の基礎年金番号や住所を含む、個人情報約125万件が外部に流出したと発表しました。

日経コンピュータ の取材によれば、日本年金機構システム統括部曰く「年金に関する個人情報は普段は基幹システム（社会保険オンラインシステム）で保存しているが、ある業務で使うため、個人情報を基幹システムから抽出し、LANに接続するファイル共有用のサーバーに移した」とのことです。

この組織では、年金受給者の個人情報を、基幹システムからコピペし、ファイルサーバーにおいても良い、というルールになっている様です。つまり、加入者の個人情報は、ネットに繋がっていて、外部とメールを送受信できる端末からみることができたらしく、さらに、個人情報をいじる端末と、メールを送受信する端末がわかれていなかった上に、メールの添付ファイルを自由に開くことができる体制になっていたようですね。

個人情報を取りあつかっている組織のセキュリティ担当や、運用担当が卒倒しそうな状況ですが、年金機構には、一体何の目的で、何をするために、データをファイルサーバーに落とすことが許されていたのかを、そもそも、そのデータを扱うことができたのは、どの職務区分の誰で、データはマスキングされていたのか否かも説明する必要がある様にも思いますが、説明責任がうやむやにならないと良いですね。

現在発表されている情報を見る限り、こういう問題が起こってしまうのは、技術よりも、運用体制、つまり、どうやって仕事をやるか、の話です。誰が、どの様な思想で運用体制を設計し、誰がチェックし、誰が承認し、さらに、そういう運用体制を監督する体制、つまり、年金機構のITガバナンス体制には問題がないかどうかという話です。ところで、ここの情シスの人々は、２ちゃんに色々書き放題だったらしく、流出前に感染が予告されていたという噂もありますが、業務情報の漏えいに対する懲戒がどうなっているのかも興味深いですね。

2015年６月１日夜の時点で、この件に関して、お詫びも注意事項も何もサイトに載っていないのが、またジワジワきますが、リスク管理体制についても、どうなっているのか、お聞きしてみたい感じですが、こういう対応が、時間もお金もある年金加入者の皆様のアンガーにてんぷら油を注ぎ、集団訴訟を起こされないことを祈念いたします。

こういう事態になりますと、マイナンバー、そんなに心配？　使いこなすのは国民自身（核心）という、管理する方は何も問題がないみたいな寝言を言っている方が、「流出情報を５万円で回収してあげますよ」という電話を受けてパニクる姿を期待したいわけですが、マイナンバーを学習履歴にも使えというすごいことを言っている胡散臭い方も湧いており、その様な方々が政府の要職にあったりとか、寝言を言っている方々が太鼓持ちなので、我々の個人情報は流出するのが前提で暮らすほかないのかもしれませんね。合掌。