日本年金機構が調査結果を発表、新たな情報漏えいは確認されず、対応については流出を防げたポイントが複数あったと指摘

　日本年金機構は20日、5月に不正アクセスにより年金番号などの個人情報約125万件が流出した件について、調査委員会による調査結果を発表した。

　感染端末やサーバーのデータ、ログなどから不正アクセスの記録を収集・解析するフォレンジック調査としては、端末31台、認証サーバー1台、共有ファイルサーバー1台を対象とした調査を実施。個人情報に関しては、これまで公表してきた約125万件以外に新たな情報流出は確認されなかったとしている。

　一方で、機構職員の個人情報225件や、職員の業務用個人メールアドレスの一部（件数不明）、組織関係情報や業務マニュアルなどが流出した可能性があることが新たに判明したという。

　日本年金機構の対応については、個人情報流出の防止に向けて改善できた可能性のある重要なポイントが複数存在したと指摘。情報流出が実際に発生した5月21日～23日の前にも、内閣サイバーセキュリティセンター（NISC）から「不審な通信を検知した」との通知を受けていたが、送信元メールアドレスの受信拒否の設定を行わなかったことや、標的型メール攻撃ではないかとの疑いが組織として共有されなかったことをポイントとして挙げた。

　また、攻撃が発生した際に、標的型メール受信者全員に個別に添付ファイルの有無を確認しなかったことや、NISCの解析結果に基づくフィルタリングを行わなかったこと、流出が確認された際に機構内すべての統合ネットワークを通じたインターネット接続の遮断を行わなかったことなどを挙げ、これらの対応が十分であればその後の情報流出は防止できた可能性があったとしている。

　こうした初動対応の遅れを招いた背景としては、年金個人情報を守るという組織として一貫した方針の下、こうした対応への議論が平素から行われておらず、組織全体としての対応方針の明確なルール化と訓練などによる徹底を図ってこなかったことにあると指摘。また、個人情報が共有ファイルサーバーに置かれていたことで被害が拡大したが、こうした共有ファイルサーバーの取り扱いや端末利用におけるインシデント対応について、そのリスクについて役員から職員に至るまで認識が徹底しておらず、そのことが今回の情報流出の極めて大きな原因になったと評価している。

　再発防止に向けた今後の取り組みとしては、基幹システムおよび個人情報など重要情報を扱うシステムについてはインターネット接続環境から完全に遮断すること、情報セキュリティ対策の司令塔としての「情報管理対策本部（仮称）」を新設すること、多層防御体制の整備など情報セキュリティ対策の強化を挙げている。

　また、日本年金機構の組織全体の問題についても、ゼロベースから組織全体を総点検し、ガバナンスや組織風土の抜本的な改革に向け、職員全員のちからを結集していかなければならないとして、理事長をトップとする「日本年金機構再生本部（仮称）」を新設し、組織を挙げて全力で取り組むとしている。