今回は、大問題となっている日本年金機構への不正アクセス事案についてお話をお伺いできればと思います。

2015年5月の段階で、ウイルスが添付されたメールを年金機構の従業員が開封したことにより、
125万件の個人情報（年金番号、住所など）が流出していることがわかっています。
流出したデータを用いて詐欺行為をする人が現れたりと、実害も伴ってきていますね。この問題についてはどう思われますか？

■年金機構　個人情報漏えい問題
http://www.asahi.com/articles/ASH685Q8DH68UTFL00J.html

国民生活の上で身近な個人情報なわけですから、非常に怖いですよね。

金融機関などでは良くあるのは、個人用のメールアドレスを付与していなかったり、
そもそもメールアドレス自体が社外に出ていない場合も多いので、そのあたりはどうだったのだろうかと思います。

従業員個人の社用アドレスが無い（もしくは社外にでてない）ことが多いので、
どういう経緯で感染したのだろう？ということでしょうか。

いえ、そもそもどうやってそこにメールを送ったんだろうかと言う疑問です。

なるほど。。。

アドレスの流出経路はいくらでもありそうですけど、まずはそこですね。

そのあたりは、まだ公にされていませんね。

次に、また、年金機構のような機微な個人情報を扱っている期間で、
ウィルスを検知する事が出来ないほどの甘いセキュリティまたは流出をせき止める事前の対処を
取っていなかったものなのかと疑問になります。
ましてや、重大な情報を預かっている立場で、（想像するに）初歩的なトラップにかかって事故が起こっているというところに
内部での啓蒙や利用者（メールアドレスを使える人）のリテラシーが低いのか・・・いったいなんなんだろうかとしか思えません。
とは言え、前回の話題でもお話しましたが、セキュリティ対策の専門家ではありませんので、このあたりは言及致しません。
今回私どもで気になっている点は、情報流出公表前に2ちゃんねるに対してウィルスに感染した情報を書き込んだという点ですね。

はい、ありました。ウイルスに感染してから、公式に発表されるまでの間に、「ウイルス感染しました」という内容が書き込まれていましたね。 （参照URL　http://headlines.yahoo.co.jp/hl?a=20150617-00000055-jij-pol　）

これが別に2ちゃんねるではなくてもいいと思うんです。
例えば、twitterで「ウィルスに感染しました」とつぶやいていたとしても似たようなものですよね。

そこで、年金機構は守秘義務違反で告発すると言っているようですが、、、
まずは、私の個人的な心情でお話致します。
これは論点のすり替え？責任転嫁？逆切れ？のように感じます。
そんな事に労力とお金を掛けるくらいならば、もっと早い段階でリスク対策を講じなかったのはなぜなのかと疑問しかありません。

感染から情報公開まで1か月間もありますしね。

その通りです。

とまあ、大分脱線してしまいましたので本来の説明すべき事に戻ります。
私どもお客様の中でも、内部のスタッフまたは退職者が会社の営業機密や個人情報を
ネット上に書き込まれてしまい相談いただくケースがあります。
まず、その情報が本当に秘密なのかと言う点があります。

（１）秘密として管理されていること（秘密管理性）
（２）有用な情報であること（有用性）
（３）公然と知られていないこと（非公然性）

（２）と、（３）がいまいちイメージがわきません。。。ご説明をお願いしたいのですが。。

（１）は簡単なのですが、例えば資料にマル秘と書いてあったりしても、
誰でも見れてしまうようなところに置いてあったりしたら該当しません。

NDA（守秘義務契約）などで管理している会社も多いですね。

（２）は、事業活動を行う上で、競合他社と差をつけられるような重大な技術情報や営業情報などを指します。
（３）は、顧客との取引内容等の過去の履歴、顧客の個人情報、企業によって管理されていて企業内以外では入手できないものを指します。
（３）で、良く間違えられやすいのは、誰でも入手できる情報が拡散してしまっている場合は該当しません。

例えば、帝国データバンクに載っている情報をネットに書き込んだとします。
これは、お金を払えば誰でも見られるものですので、機密情報にはなりません。

そうですね。無料ではないにせよ公開されている情報ですね。

そうなのです。
機密情報としては、上記の（１）（２）（３）のすべてを満たさなければなりません。

すべてですか！どれか一つではなく全部なのですね。

はい。

しかし、今回の年金機構のケースに照らし合わせてみると果たしてどうなんだろうかなと言う疑問が出てきます。
（２）（３）は該当したとしても、（１）は後からではないのかと感じます。
ですので、年金機構としては「まだ知られたくない」「対応する準備が整っていない」と言う事で発表を遅らせているようですが、
この「知られたくない」⇒「あえて知られたくない」情報がネット上で書き込まれるケースが多くあり相談を受けるのです。

なるほど。それは一種の内部告発のようなものでもあり、前回お伺いした「社内からの漏えい」ということなのですね。
そういったケースで相談に来られる方が多いと。

ケースに関しては分かりやすくお伝えしただけですので、一概にこのような例に限った話ではありませんよ。

そうなのですね。。

今回のケースについては、”（１）は後からではないのかと感じます。”とおっしゃっていたのですが、これはどういう意味でしょうか？

後からと言うのは「内部でこれは秘密にせよ！」と言う指示が出る前に書き込みがなされたのではないかと言う意味です。

なるほど！もしそうであれば、告訴は難しそうですか？

法律家ではありませんので、その点は分かりませんね。

今回、従業員が２ちゃんねるに書き込みをしたことを年金機構は訴えようとしています。

年金機構の対応（発表が遅れる、社員を訴えようとする）に問題はありますが、
このように内部の人間が情報を漏らしてしまうケースは、どの会社にも起こりうるものなのですね。 勉強になりました。。

どうもありがとうございました！