琉球新報社 行政機関としては過去最大規模とみられる約125万件もの個人情報流出が発覚した。情報を管理する年金機構の対策の甘さや職員の意識の低さもあっただろうが、何より問題なのは、年金機構が最初のウイルス感染を把握しながら対応が後手に回ったことだ。
悪意のあるウイルス感染が分かった場合、最優先すべきは情報漏出を疑い、対処することだ。しかし年金機構は感染したパソコンを組織内のネットワークから隔離しただけで、注意喚起も徹底できなかった。結果として、別の職員が同じ手口にひっかかり、再び感染が広がった。
相談を受けた警視庁が調査を始め、情報流出が指摘されるまで、最初の感染から20日が経過していた。年金機構の対応のまずさが被害を拡大したのは間違いない。
3日の衆院厚生労働委員会で集中審議があり、年金機構の水島藤一郎理事長は、再発防止策として個人情報を扱う場合はネットワーク上の共有フォルダでの保管やインターネット接続の禁止を検討する考えを示した。
流出した個人情報のうち44%に当たる55万件は必要なパスワードもかけていなかったという。情報管理の在り方を見直すのは当然だが、今回のケースでは年金機構に危機感が薄かったことも深刻だ。
前身の社会保険庁時代、誰のものか特定できない「消えた年金」などの不祥事が続発し、2010年に発足したのが現在の年金機構だ。当時、政府がまとめた報告書は旧社会保険庁の問題点として「過度な共同体意識を共有する中で内向きで閉鎖的な組織体質であった」ことを挙げている。今回も内部での処理を優先させ、国民への説明が後回しになった。旧社会保険庁時代の体質は一向に変わっていないといえる。監督する厚生労働省の責任も問われよう。
年金機構には情報技術面での対策だけでなく、説明責任、積極的な情報公開といった組織改革も同時に求めたい。
流出した個人情報が不正受給など即座に悪用される可能性は低いが、安心はできない。今回のように住所や氏名などが流出した場合、悪意のある第三者が勝手に住所変更をすることも可能とされる。政府がことし秋からの導入を目指すマイナンバー制度にも同様の弱点は潜んでいないか。あらためて個人情報管理の在り方を総合的に見直すきっかけとしたい。
