琉球新報社 125万件に及ぶ過去最大規模の個人情報流出を起こした日本年金機構が報告書をまとめた。
不審な通信の事実を報告しても上司が何の指示も出さず、対策も小手先に終始し、被害が拡大した経緯が浮かび上がった。旧社会保険庁時代からの「無責任体質」が続いている様子がうかがえる。
報告書は「組織風土とガバナンス(統治の在り方)の抜本改革」をうたう。だがこれは社保庁廃止の際にも言われたことだ。同根の問題が繰り返された事実は重い。慎重な扱いを要する情報の取扱機関としての当事者能力が欠けているのではないか。
政府には早く決着させたい姿勢が見え隠れするが、長く続いた体質がそう簡単に改まるとは思えない。幕引きを急ぐだけなら問題の根本原因は水面下に潜るだけだ。体質を抜本的に改める策を、慎重に、今度こそ構築してほしい。
流出対策として機構は、個人情報を構内情報通信網(LAN)から基幹システムに移し、ネット接続環境から切り離すことにした。妥当だ。ただ業務が不便になるのは想像に難くない。すると組織内で徹底されなくなる恐れが生ずる。対策の実効性確保が欠かせない。
情報を扱う際の手順も、サイバー攻撃を受けた時の対処の手順も、それを作るだけでなく、順守させる仕組みが重要だ。罰則を設けるなど明確なルールが必要だろう。
サイバー攻撃はいたちごっこだ。技術は日進月歩で、完全に防ぐことは不可能との前提に立つべきだ。特に標的型の攻撃は再びあると意識した方がいい。その危機感を組織内で常に共有してほしい。
年金機構は非公務員型の特殊法人だ。約2万2千人の職員のうち半分は非正規職員で、正規職員約1万1千人のうち約8千人が社保庁出身、残りは民間出身と機構発足後の新卒、と構成は複雑だ。報告書は「組織の一体感不足という構造的問題が根深い」と指摘する。
社保庁時代も(1)厚生労働省のキャリア官僚(2)社保庁本庁採用(3)地方採用-の「三層構造」が組織の一体化を欠く根本原因とされたが、現状はそれ以上の複雑さである。むしろ社保庁廃止で劣化したとも言われる。
そうであれば、より問題なのはそうした改革しか講じられなかった監督官庁の方ではないか。問題を年金機構の個別の問題に矮小(わいしょう)化するのは許されない。厚労省自身の統治能力も検証すべきだ。
