年金情報流出、二次被害防止に全力挙げよ


  日本年金機構の職員のパソコン端末がサイバー攻撃を受け、個人情報約125万件が外部に流出した。
 これらの情報が詐欺などに悪用される恐れもある。機構は二次被害防止に全力を挙げなければならない。

 あまりにもずさんな管理

 流出したのは約125万件の基礎年金番号と氏名。うち約116万7000件には生年月日が、約5万2000件には住所と生年月日が含まれていた。

 原因は、職員が情報を盗み取るウイルスを添付した「標的型メール」を開封したことだった。機構では業務上必要な場合に限り、端末を使って機構のサーバーに接続し、基礎年金番号や氏名、生年月日などの個人情報を引き出すことができる。

 しかし、同じ端末で業務メールの送受信を行っていたことが流出につながった。本来、インターネットに接続された端末で個人情報を扱うなどあってはならないことだ。

 また、個人情報が保存されたファイルにはパスワードを設定するよう内規で定めていたが、流出したファイルのうち55万件は未設定で中身を簡単に見られる状態にある。あまりにもずさんな情報管理だったと言わざるを得ない。

 機構では最初に感染した端末をネットワークと遮断したが、別の職員が標的型メールを開封してしまったため、被害が拡大した。最初の段階で全ての端末を遮断していれば、結果は違ったはずだ。

 今回流出した情報を悪用した年金の不正な引き出しが行われる可能性は低い。しかし、第三者が基礎年金番号、氏名、生年月日を知ることができれば、本人に成りすまして住所を変更できる。また、詐欺グループが受給者に機構の職員を装って電話をかけ、現金を振り込ませようとすることも考えられる。実際に不審な電話が東京や福岡で相次いでいるという。

 不正防止のため、機構は情報が流出した人の基礎年金番号を変更して対処する方針だ。このほか、通常は機構職員が受給者や加入者に直接電話しないということも周知し、振り込め詐欺など二次被害の防止にも努めるべきだ。

 厚生労働省は第三者の検証委員会を省内に近く設置し、原因究明や再発防止策の検討を急ぐ方針だ。対策強化はもちろんだが、何よりも機構職員に年金を預かる責任の重さを自覚させることが求められよう。

 今回の流出で、運用開始が来年1月に迫っている社会保障と税の共通番号(マイナンバー)制度への影響も懸念される。国民一人ひとりに12桁の番号を割り振るマイナンバーは、納税や年金などの情報を行政機関が一元的に把握できるようにするためのものだ。

 国民の不安を取り除け

 年金や所得額など一つひとつの情報は別々の機関に置かれたままで、マイナンバーによる照会も暗号化される。政府関係者は「マイナンバーのシステムで、直ちに大きな問題になるようなことはない」と説明するが、国民の不安を取り除くためにも個人情報を厳格に管理しなければならない。

(6月4日付社説)