年金機構、組織の立て直しが急務だ
日本年金機構は約125万件の個人情報が流出した問題で、内部調査の報告書を発表した。
報告書では標的型メール攻撃に対応するルールの不備を「直接的な要因」としたが、背景には不祥事の相次いだ前身の社会保険庁時代の体質が改善されていないことがあると指摘した。このままでは年金制度への国民の不信が高まりかねない。組織の立て直しが急務だ。
社保庁体質の改善できず
報告書によると、5月8~20日に機構の端末が計124通の標的型メールを受信し、職員5人が添付されたファイルを開封。20日に届いたメールの添付ファイルが開かれたことで、複数の端末にウイルス感染が拡大し、21~23日にサーバーから個人情報が抜き取られた。
この間、不審な通信先を特定して外部との接続を遮断するなどの対応を取っていれば被害は防げたはずだ。しかし機構は受信者にファイル開封の有無を十分に確認せず、このためウイルス感染の把握が遅れた。
報告書は、サイバー攻撃対策の具体的なルールがないことを情報流出の要因としている。備えが不十分だったと言わざるを得ない。
インターネットにつながったサーバー内への個人情報保管が常態化していたことも被害を拡大した。重要な情報であるにもかかわらず、管理があまりにもずさんだ。
報告書で見逃せないのは、ガバナンス(組織統治)の脆弱(ぜいじゃく)さ、組織としての一体感の不足、ルールの不徹底など、社保庁時代からの問題が根底にあると認定したことだ。
ルールの不徹底に関しては、流出した125万件のうち55万件は定められたパスワードの設定がなかった。報告書は「ルール自体の有名無実化」を認めている。
職員間の意思疎通不足も露呈した。機構内での対応は担当者任せとなり、上司は具体的な指示を出していなかった。
社保庁時代には、職員が①厚生労働省キャリア②本庁採用③各都道府県の採用――の「3層構造」で風通しが悪かった。社保庁が年金記録問題などで解体された後、機構では本部の一括採用や全国異動の促進などを行ってきたが、一体感を十分に醸成できなかったようだ。
機構は組織風土を抜本的に見直すため、「再生本部」を新設する方針を示した。情報管理強化のためにも、体質改善に全力を挙げるべきだ。
機構の監督官庁である厚労省の第三者委員会も、今回の情報流出についての報告書をまとめた。厚労省は機構より前に類似のサイバー攻撃を受けていたという。
機構にはこのことが伝えられておらず、厚労省の責任も重いと言えよう。機構への監督体制を強めなければならない。
官民でサイバー対策を
今回は機構の対応のまずさが大量の情報流出につながったが、サイバー攻撃が巧妙、多様化していることも確かだ。
政府は中央省庁のサイバー対策のため、民間人材の登用を促進する方針だ。高度な技術を有する人材の育成にも、官民を挙げて取り組む必要がある。
(8月25日付社説)