マルウェア感染、日本年金機構

メール添付のウイルス

日本年金機構から個人情報が流出した事件は話題となりました。
メールに添付されていたウイルスに感染してしまい、
それによって不正アクセスされて個人情報流出が引き起こされてしまったのです。

これはとても初歩的なウイルスであり、
普通の企業ではこのようなウイルスへの対処はきちんとされているはずです。

日本年金機構は個人情報の保護を全役職員に定着させていることすらできていないと説明しています。

添付ファイルに対しては正しい対応をすることは大切なのですが、
リスクを想定して管理をきちんとすることも大切です。
日本年金機構ではそのような管理体制はまったく整っていないのです。

普通の企業では、大切な個人情報にアクセスできる端末は限定されているのが普通です。
また、その限られた端末を操作する人に関してはすべて記録を残しておき、
きちんと研修を受けた人に任せるのが当たり前のことです。

すべての役職員に対してセキュリティーに関する知識を持たせることは不可能なため、
個人情報を流出するのを阻止するにはミスがあることを前提としたシステム構築が必要です。

年金機構に対してウイルスメールが送られたのは5月8日のことであり、
それが公表されたのはなんと6月1日でした。

これは大きく批判されており、年金機構のずさんさが露呈された事件となりました。

どのような対策が必要か

年金機構の問題点としては、たとえばウイルスが感染したことがわかったのであれば、
その端末はすぐに隔離するべきでした。

あるいはネットワーク外への通信を遮断するような措置も必要でした。
しかし、年金機構はそのような有効な対策は一切していなかったのです。

メールに添付ファイルがあるからといって、
それを何の疑問も抱かずに開いてしまうのは、とても情けないことです。

普通の企業ならば、万が一添付ファイルのやり取りをするならば、
きちんと暗号化した上でパスワードをかけます。
そして、パスワードは別のメールで送ります。

このような基本的なファイルの取り扱いの常識さえ知らなかったのが年金機構の問題です。
昔から年金機構の管理のずさんさは問題視されてきました。
未だにそのような状況から抜け出せないでいるのはもっと非難されるべきでしょう。

かつて消えた年金問題がありましたが、その頃と今とでまるで変わっていないのです。
個人情報流出に関しては難しい対策が必要なわけではありません。

特に今回の年金機構に関しては、
メールに添付されたウイルスに感染するという最も基本的な被害の受け方であり、
いくらでも対処できました。

これからは年金機構では、一般企業を参考にしながら、
常識的な管理体制を作ってもらうことが必要となるでしょう。

本来であればそれはできていて当然のことであり、
それが実現していないことはとても恥ずかしいことです。