年金機構 125万件の個人情報流出!
年金機構 125万件の個人情報流出!
職員端末にサイバー攻撃
日本年金機構は1日、職員の端末がサイバー攻撃を受け、個人情報約125万件が外部に流出したと発表した。いずれも加入者の氏名と基礎年金番号が含まれ、うち約5万2000件には住所も含まれていた。55万件は内規に反してパスワードが未設定だったといい、同機構の水島藤一郎理事長は「極めて重い責任を感じる。全力を尽くして対処する」と陳謝した。
安倍晋三首相は記者団に「国民の大事な年金だ。万全を期すよう厚生労働相に指示した」と述べた。記者会見した塩崎恭久厚労相は「悪意を持った攻撃を防げなかったことは遺憾だ」と話し、省内に検証委員会を設置することを明らかにした。
同機構によると、5月8日に職員が電子メールの添付ファイルを開封したことで端末1台がウイルスに感染し、「異常な通信を始めた」という。外部のセキュリティー会社に対策を依頼したが、他にも開封した職員がいたとみられ、18日に再び不正アクセスを検知。翌19日、警視庁に捜査を依頼したところ、28日に同庁から情報流出を伝えられたとしている。
警視庁公安部は、不正アクセス禁止法違反や刑法の不正指令電磁的記録供用罪に当たる可能性があるとみて、捜査を始めた。
流出したのは(1)基礎年金番号と氏名が約3万1000件(2)番号、氏名、生年月日が約116万7000件(3)番号、氏名、生年月日、住所が約5万2000件。さらに件数が増える可能性もあるという。
同機構の内規では、個人情報を含むデータを端末に保存する際、パスワードを設定し外部閲覧を制限することになっていた。しかし、約55万件はパスワードが未設定で、内規違反の状態だった。
同機構は被害拡大を防ぐため、すべての年金事務所でインターネットへの接続を遮断。年金の積立額や職歴などを扱う基幹システムへの不正アクセスは確認されていないが、さらに調査を進める。
同機構は2日から、情報が流出した加入者から各種手続きがあった場合、本人確認を徹底。該当者の基礎年金番号も変更し、成り済ましを防ぐ。
加入者には個別に通知して謝罪するとともに、不審な連絡があった場合の専用電話窓口を設置した。電話番号はフリーダイヤル(0120)818211。
流出から公表までの経緯
日本年金機構によりますと、ウイルスへの感染を確認したのは先月8日で、不正な通信が行われている記録が残っていたことから、職員のパソコンの感染を検知したということです。
その後、職員に注意を促すとともに、外部の会社にウイルス対策と調査を依頼しましたが、先月18日までの間に複数回にわたって依然として不正な通信が行われていることが分かり、翌日の19日になって警視庁に被害の相談をしたということです。
また、個人情報が流出したことについては、先月28日に警視庁からの情報提供で初めて分かったとしています。
また、流出した個人情報125万件のうち、70万件はパスワードが設定されていましたが、それ以外は設定されておらず、内規に違反した状態だった可能性があるということです。
厚労相「再発防止に全力」
塩崎厚生労働大臣は、記者会見で「日本年金機構への悪意を持った攻撃を防げなかったことは誠に遺憾だ。機構に対し、今回の事態を深刻に受けとめ、国民の年金を守ることを最優先にし、年金支払いに影響が出ないよう指示した。日本年金機構を監督する立場の厚生労働大臣としておわびする」と述べました。
そのうえで、塩崎大臣は「今後の情報管理の在り方について、第三者からなる検証委員会を早急に立ち上げ、再発防止に全力かつ可及的速やかに取り組みたい」と述べました。
府省庁の情報システムの点検を指示
政府は、年金情報を管理しているシステムに外部から不正アクセスがあり、およそ125万件の情報が流出したとみられることが分かったことを受けて、1日午後5時すぎ、各府省庁の担当者を集めた「サイバーセキュリティ対策推進会議」を急きょ総理大臣官邸で開きました。
この中で杉田官房副長官は、府省庁の情報システムの点検を実施するとともに、府省庁、独立行政法人、それに特殊法人などで、個人情報を含む重要情報の適正管理を徹底することなどを指示しました。
専門家「過去にない被害レベル」
情報セキュリティに詳しい立命館大学の上原哲太郎教授は、今回の情報流出について「国の機関から国民の情報が流出した事案としては過去最大規模で、内容も、住民基本台帳で扱う住所や名前などの4情報より機密度が一段高いレベルのものが流出したとみるべきだ」と指摘しています。
上原教授は「年金事務所で作業のために一時的にシステムから引き出した情報を、作業の終了後も放置していたために起きたのではないか」と分析していて、こうした作業を行う端末がインターネットと接続できる環境にあったことも大きな問題だと指摘しています。
上原教授は、こうした被害を防ぐためには、個人情報を扱う端末とインターネットを接続する端末とを分けること、それに、一度取り出した情報は確実に消すことが重要だと話しています。そのうえで、日本に住む人すべてに12桁の番号を割りふるマイナンバー制度にも影響は避けられないとしていて「新たな制度では、マイナンバーにさまざまな情報をひもづけて管理するためそうした情報の取り扱いや対策を見直す必要が生じる可能性がある」と述べています。
特定の標的狙う攻撃が急増
政府機関や企業など、特定の標的を狙ってウイルスに感染するメールを送りつけて機密情報を盗み取ろうとするサイバー攻撃は「標的型メール」と呼ばれ、去年1年間で1700件確認され前の年の3倍以上に急増しています。
メールの内容としては、企業の健康保険組合から医療費の通知が届いたことを装ったり、防衛産業のメーカーや研究者に対して研究会や展示会の開催を知らせる内容になったりしていて、思わずメールを開いてしまう手口になっています。
警察庁は、政府機関や企業の情報をつかみ、周到に準備をしてメールを送りつけているとみて、攻撃を受けた企業などに対してウイルス対策のソフトを最新のものにするとともに知らない発信元からの添付ファイルは開かないよう注意を呼びかけています。
専門家「端末分けておくべき」
日本年金機構の年金情報を管理しているシステムに、外部から不正アクセスが行われ年金加入者の情報が流出したことについて、情報セキュリティー会社「ネットエージェント」の杉浦隆幸会長は、「今回の攻撃は『標的型メール攻撃』と呼ばれるもので、ウイルスが添付されたメールによって被害が起きる。メールを開かせるために客からの問い合わせを装うなど手口は巧妙で、防ぐことが非常に難しい。年金機構は、メールやインターネットで使う端末と、重要な個人情報を扱う端末は分けておくべきだった。今後は、きちんと用途別に端末を分けて、万が一、ウイルスに感染しても情報が流出しないような対策が必要だ」と話していました。
