49. 【情報漏洩事例】日本年金機構の個人情報流出

平成27年、国の年金管理システムが何者かにサイバー攻撃を受けました。これにより、約101万人分の個人情報が流出したとされており、公的年金システムに対する国民の信頼を一層低下させる結果となりました。

ここでは、日本年金機構の個人情報流出がどのようにして起こったかを見てみましょう。

日本年金機構から大量の個人情報が外部に流出

平成27年5月、日本年金機構が保有している年金加入者約125万人分の個人情報が流出したことが発覚しました。流出した情報の詳しい内容は、基礎年金番号、氏名の2情報が約3万1,000件、基礎年金番号、氏名、生年月日の3情報が約116万7,000件、基礎年金番号、氏名、生年月日、住所の4情報が約5万2,000件と発表されました。

なお、その後の調査で、実際の情報流出該当者は101万4,653人であったことが分かっています。

担当職員が電子メールを開封しパソコンがウイルス感染

年金機構の情報流出の原因は、外部から年金機構あてに送られてきた標的型攻撃メールです。標的型攻撃メールとは、特定の組織から重要な情報を盗むことなどを目的に送りつけられる電子メール。添付ファイルを開封するだけでウイルスに感染し、情報漏洩が起こってしまうことがあります。

年金機構のメールアドレスに送られてきたのは、「『厚生年金基金制度の見直しについて(試案)』に関する意見」というタイトルのメールでした。担当職員がこのメールの添付ファイルを開封したところ、パソコンがウイルスに感染。これにより、年金機構の個人用アドレスが収集され、情報が外部に流出することになってしまいました。

情報流出発覚後に年金機構と厚生労働省がとった対応

年金機構のパソコンがウイルス感染したことによる通信の異変は、内閣サイバーセキュリティセンターがすぐに察知しました。

年金機構は連絡を受けて職員のパソコンを外部のネットワークから遮断。さらに、契約しているウイルス対策ソフト会社に解析を依頼し、機構内の全てのパソコンにウイルス駆除ソフトをインストールしました。

しかし、早期に機構全体で外部との通信を遮断する措置はとっていなかったため、被害拡大を招いてしまったのです。

年金機構では、今回の情報流出に関する専用の電話窓口を設置し、外部から不審な連絡があったという加入者からの問い合わせに対応しています。また、厚生労働省では、警察当局や消費者庁、金融庁などとともに、詐欺被害防止などについてのお知らせ、広報の徹底を行っています。

今回の事件で年金の支給に影響がある?

年金の加入情報が流出したことにより、自分の年金がなくなったり、他人に横取りされたりすることを心配する人が多いと思います。

今回の件ではシステムの年金記録の改ざんはないため、年金の支払いは今後も正しい年金記録に基づいて行われます。なお、年金の振込先口座を変更する場合には、金融機関の証明印や預金通帳の写しによって本人確認が行われますから、たとえ他人に年金加入情報を知られたとしても、他人が本人になりすまして口座変更することはできません。

年金機構では、今回流出の対象となった受給者の口座変更の手続きについては、特に厳重に本人確認をするとしています。また、流出した基礎年金番号については、年金記録はそのままで新しい番号に変更されます。

年金機構の個人情報流出は、担当職員が電子メールを安易に開封してしまったことが原因で起こりました。また、発覚後の判断ミスから初動対応が遅れたことにより、被害が拡大したのです。

企業においても、技術的な情報セキュリティ対策を万全にするだけでなく、人為的ミスの防止策を考える必要があります。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?