企業ブランドをプロテクトするネクストリンク
評判管理・風評被害対策・ウェブマーケティングを最適化します。

0120-550-555 お客様専用ダイヤル
2015年06月19日
コラム/インタビュー

日本年金機構不正アクセス問題


質問者

今回は、大問題となっている日本年金機構への不正アクセス事案についてお話をお伺いできればと思います。

2015年5月の段階で、ウイルスが添付されたメールを年金機構の従業員が開封したことにより、
125万件の個人情報(年金番号、住所など)が流出していることがわかっています。
流出したデータを用いて詐欺行為をする人が現れたりと、実害も伴ってきていますね。この問題についてはどう思われますか?

■年金機構 個人情報漏えい問題
http://www.asahi.com/articles/ASH685Q8DH68UTFL00J.html

大和田

国民生活の上で身近な個人情報なわけですから、非常に怖いですよね。

金融機関などでは良くあるのは、個人用のメールアドレスを付与していなかったり、
そもそもメールアドレス自体が社外に出ていない場合も多いので、そのあたりはどうだったのだろうかと思います。

質問者

従業員個人の社用アドレスが無い(もしくは社外にでてない)ことが多いので、
どういう経緯で感染したのだろう?ということでしょうか。

大和田

いえ、そもそもどうやってそこにメールを送ったんだろうかと言う疑問です。

質問者

なるほど。。。

大和田

アドレスの流出経路はいくらでもありそうですけど、まずはそこですね。

質問者

そのあたりは、まだ公にされていませんね。

大和田

次に、また、年金機構のような機微な個人情報を扱っている期間で、
ウィルスを検知する事が出来ないほどの甘いセキュリティまたは流出をせき止める事前の対処を
取っていなかったものなのかと疑問になります。
ましてや、重大な情報を預かっている立場で、(想像するに)初歩的なトラップにかかって事故が起こっているというところに
内部での啓蒙や利用者(メールアドレスを使える人)のリテラシーが低いのか・・・いったいなんなんだろうかとしか思えません。
とは言え、前回の話題でもお話しましたが、セキュリティ対策の専門家ではありませんので、このあたりは言及致しません。
今回私どもで気になっている点は、情報流出公表前に2ちゃんねるに対してウィルスに感染した情報を書き込んだという点ですね。

質問者

はい、ありました。ウイルスに感染してから、公式に発表されるまでの間に、「ウイルス感染しました」という内容が書き込まれていましたね。
(参照URL http://headlines.yahoo.co.jp/hl?a=20150617-00000055-jij-pol )

大和田

これが別に2ちゃんねるではなくてもいいと思うんです。
例えば、twitterで「ウィルスに感染しました」とつぶやいていたとしても似たようなものですよね。

そこで、年金機構は守秘義務違反で告発すると言っているようですが、、、
まずは、私の個人的な心情でお話致します。
これは論点のすり替え?責任転嫁?逆切れ?のように感じます。
そんな事に労力とお金を掛けるくらいならば、もっと早い段階でリスク対策を講じなかったのはなぜなのかと疑問しかありません。

質問者

感染から情報公開まで1か月間もありますしね。

大和田

その通りです。

とまあ、大分脱線してしまいましたので本来の説明すべき事に戻ります。
私どもお客様の中でも、内部のスタッフまたは退職者が会社の営業機密や個人情報を
ネット上に書き込まれてしまい相談いただくケースがあります。
まず、その情報が本当に秘密なのかと言う点があります。

(1)秘密として管理されていること(秘密管理性)
(2)有用な情報であること(有用性)
(3)公然と知られていないこと(非公然性)

質問者

(2)と、(3)がいまいちイメージがわきません。。。ご説明をお願いしたいのですが。。

大和田

(1)は簡単なのですが、例えば資料にマル秘と書いてあったりしても、
誰でも見れてしまうようなところに置いてあったりしたら該当しません。

質問者

NDA(守秘義務契約)などで管理している会社も多いですね。

大和田

(2)は、事業活動を行う上で、競合他社と差をつけられるような重大な技術情報や営業情報などを指します。
(3)は、顧客との取引内容等の過去の履歴、顧客の個人情報、企業によって管理されていて企業内以外では入手できないものを指します。
(3)で、良く間違えられやすいのは、誰でも入手できる情報が拡散してしまっている場合は該当しません。

例えば、帝国データバンクに載っている情報をネットに書き込んだとします。
これは、お金を払えば誰でも見られるものですので、機密情報にはなりません。

質問者

そうですね。無料ではないにせよ公開されている情報ですね。

大和田

そうなのです。
機密情報としては、上記の(1)(2)(3)のすべてを満たさなければなりません。

質問者

すべてですか!どれか一つではなく全部なのですね。

大和田

はい。

しかし、今回の年金機構のケースに照らし合わせてみると果たしてどうなんだろうかなと言う疑問が出てきます。
(2)(3)は該当したとしても、(1)は後からではないのかと感じます。
ですので、年金機構としては「まだ知られたくない」「対応する準備が整っていない」と言う事で発表を遅らせているようですが、
この「知られたくない」⇒「あえて知られたくない」情報がネット上で書き込まれるケースが多くあり相談を受けるのです。

質問者

なるほど。それは一種の内部告発のようなものでもあり、前回お伺いした「社内からの漏えい」ということなのですね。
そういったケースで相談に来られる方が多いと。

大和田

ケースに関しては分かりやすくお伝えしただけですので、一概にこのような例に限った話ではありませんよ。

質問者

そうなのですね。。

今回のケースについては、”(1)は後からではないのかと感じます。”とおっしゃっていたのですが、これはどういう意味でしょうか?

大和田

後からと言うのは「内部でこれは秘密にせよ!」と言う指示が出る前に書き込みがなされたのではないかと言う意味です。

質問者

なるほど!もしそうであれば、告訴は難しそうですか?

大和田

法律家ではありませんので、その点は分かりませんね。

質問者

今回、従業員が2ちゃんねるに書き込みをしたことを年金機構は訴えようとしています。

年金機構の対応(発表が遅れる、社員を訴えようとする)に問題はありますが、
このように内部の人間が情報を漏らしてしまうケースは、どの会社にも起こりうるものなのですね。
勉強になりました。。

どうもありがとうございました!