2015年06月05日
日本年金機構での情報漏洩事故について考えてみる
活用塾メンバーの増田です。
情報セキュリティサービスを生業にする立場から今回の日本年金機構での情報漏洩事故について考えてみたいと思います。
この事件については、連日、新聞、テレビ、ネットなどで大きく報道されているので皆さんもすでに詳しくご存知だと思いますが、繰り返される情報セキュリティ事故の本質を伝え、皆さんがこの様な事故の当事者(被害者、加害者)とならないようにするため、「トヨタ式 なぜなぜ分析」で分析してみます。
[事象]
・125万件の名前、住所、年金番号などの個人情報が漏洩した
・この情報漏洩により、年金行政への不信感が増大し、詐欺行為に対する不安および詐欺行為自体が発生
[なぜ1:事象を起こした原因]
・ウィルス添付メールの開封
・パスワード保護していなかった
・職員のパソコンなどがネットに繋がっていた
・機関システムのデータベースなどからデータが職員のパソコンに複製されていた など
[なぜ2:なぜ1の原因を起こした原因]
・業務ルール/コンピュータシステムの整備不足
・職員の業務ルール違反
[なぜ3:なぜ2の原因を起こした原因]
・業務効率を優先(面倒くさい)
・システム整備費用の不足
[なぜ4:なぜ3の原因を起こした原因]
・職員によるルールを遵守する意識の希薄さ
・幹部のよるルールを順守させる意識の希薄さ
[なぜ5:なぜ4の原因を起こした原因]
・事故発生時の影響の大きさの理解不足=事故発生時の影響の大きさを測定していない
・125万件の名前、住所、年金番号などの個人情報が漏洩した
・この情報漏洩により、年金行政への不信感が増大し、詐欺行為に対する不安および詐欺行為自体が発生
[なぜ1:事象を起こした原因]
・ウィルス添付メールの開封
・パスワード保護していなかった
・職員のパソコンなどがネットに繋がっていた
・機関システムのデータベースなどからデータが職員のパソコンに複製されていた など
[なぜ2:なぜ1の原因を起こした原因]
・業務ルール/コンピュータシステムの整備不足
・職員の業務ルール違反
[なぜ3:なぜ2の原因を起こした原因]
・業務効率を優先(面倒くさい)
・システム整備費用の不足
[なぜ4:なぜ3の原因を起こした原因]
・職員によるルールを遵守する意識の希薄さ
・幹部のよるルールを順守させる意識の希薄さ
[なぜ5:なぜ4の原因を起こした原因]
・事故発生時の影響の大きさの理解不足=事故発生時の影響の大きさを測定していない
結論は非常に単純で
・事故発生による損失に応じた対策が取られなかった根本原因は、損失の大きさを
・知らなかった
・知らせなかった
・それは、事故発生による損失を測定していなかった
という、ある意味、極ありきたりのものになりました。
今回の場合、もちろん、事故が起きてみて初めて事の重大性が分かった面はありますが、
・信用を失墜した社会保険庁が日本年金機構に生まれ変わったのにまた信用を失墜するリスク
・国民の年金に対する不信感が広がり、年金行政が行き詰まるリスク
・厚労省が進めている派遣法改正案の議会通過に対するリスク
・厚労省大臣、年金機構幹部が謝罪するリスク
・業務停滞、業務効率が悪くなるリスク
・消えた年金問題に続き、漏れた年金問題で内閣に対する不信感が増大するリスク
・事故を起こした個人および組織が懲戒されるリスク
・etc
などは、従前に想像できた範囲のリスクです。
これらのリスクと影響(損失)が、事前に抽出、分析、広報されていれば、100%でないにせよ、事故発生の確率は相当下げられ、リスクに対する対策がバランスしている状態になっていたものと思われます。
この様な事前の対策は、「リスクマネジメント」という手法ですでに確立しています。
是非、皆さんも自分、自社が保有している資産とそれを失った場合のリスク(損害)について改めて検証してみることをお薦めします。
-----------------------------------------------------------------------------------------
追記1:もう1段なぜを繰り返してみると
[なぜ6:なぜ5の原因を起こした原因]
・人が介在しているから
本質的な原因が「人が介在しているから」という身も蓋もない結論になってしまい、「そんなのどんな事故でも当たり前だよ!」というツッコミがありそうですが、「人が介在しているから100%はないと分かっていて対策する」が正確な言い方です。
先日も那覇空港で自衛隊機が離陸直前の飛行機の前を横切るという事象が発生しましたが、これも、自衛隊機の操縦士が管制塔からの支持を勘違いしたという人為的なミスでした。空港という最もルールが整備されている組織でも人為的なミスは発生するのです。
-----------------------------------------------------------------------------------------
追記2:年金機構のアナウンス
日本年金機構は、当該サイトでお詫びと注意喚起を行っていますが、そのタイトルはいずれも「日本年金機構不正アクセス事案・・・」というものです。意図的にこのタイトルにしたかは不明ですが、「不正アクセス」という言葉に自分はあくまで被害者であるという意識が読み取れます。
が、
どんなに割り引いてみても未必の故意にあたる加害者であることは否めません。
誤解を恐れずに言えば、誰かに被害を与える凶器を渡してしまったという意味で、犯罪の片棒をかついだ共犯の一人といっていいとも言えます。
(もちろん、法的には犯罪者ではありません)
また、このお詫びには
「日本年金機構では、お客様の年金を守ることをお約束いたします。お客様の
情報が不正に利用されるなど、今後のお客様の年金支払いへの影響が出るこ
とが万が一にもないよう、万全の対応をとってまいります。」
とありますが、空虚が感じがしますし、
「万が一」、「万全」などと今後100%事故は起こさないという、できるはずのない(物事には100%はない)約束をしていること(もちろんこの様に言わなければならないことは理解しますが…)にかえって無責任を感じてしまいます。
今後も国民の重要な情報を扱う日本年金機構には、万全(多少の皮肉を込めて)を期していただきたいですし、これを読んでいらっしゃる皆さんも個人情報などを持っている場合には、いつ加害者になるかもしれないという意識でことに望んでいただきたいと思います。
-----------------------------------------------------------------------------------------
追記3
重ねて書きますが、情報セキュリティに100%安心、安全はありません。
今日も、米国 連邦人事管理局で情報漏洩が発生したとの報道がありました。
恐らく、最も情報セキュリティ対策を施しているであろう組織でも事故は起きるのです。
以上
この記事へのコメント
リスクヘッジコンサルタントの立場からすると、介在する人間を最小限にすることがIT事故を防ぐ最善の方法です。
ソフト・ハードの両面が整っているにもかかわらず起きる事故のすべては人為的な物ですからね。
今回も、意識が高ければ起きない事故です。
あまりに国民を小馬鹿にしたような状況になりましたね。
ソフト・ハードの両面が整っているにもかかわらず起きる事故のすべては人為的な物ですからね。
今回も、意識が高ければ起きない事故です。
あまりに国民を小馬鹿にしたような状況になりましたね。
投稿者(あべっち
)) at 2015年06月06日 00:32
)) at 2015年06月06日 00:32年金の件もそうですが、行政ってホントにワタシ達の幸せの為に働いているのか疑問に思う事があります。
ウチが加入している年金基金も例のAなんとかっていう投資顧問問題とは関係なかったのに運用がうまくいっていないからって言って解散させちゃうそうです。
コッチはなけなしのカネを従業員の為にと思って預けたのに「失敗しました、ごめんなさい」で良しにしちゃう訳ですから、今回の件となんら変わりない訳ですよね。
ワタシ達はサービスの良し悪し関係無く税金を納めます。従って行政サービスが悪いからって値段が決められないですよね。普通の商売ならそんなことあり得ません。
行政がみんな悪いって訳ではないですけど、自分らの仕事が大変重要でそれだから生活面ではある程度の保障がされている訳だから、各人がそれぞれ理念をもって業務に打ち込んでもらいたいです。
ナカガワ
ウチが加入している年金基金も例のAなんとかっていう投資顧問問題とは関係なかったのに運用がうまくいっていないからって言って解散させちゃうそうです。
コッチはなけなしのカネを従業員の為にと思って預けたのに「失敗しました、ごめんなさい」で良しにしちゃう訳ですから、今回の件となんら変わりない訳ですよね。
ワタシ達はサービスの良し悪し関係無く税金を納めます。従って行政サービスが悪いからって値段が決められないですよね。普通の商売ならそんなことあり得ません。
行政がみんな悪いって訳ではないですけど、自分らの仕事が大変重要でそれだから生活面ではある程度の保障がされている訳だから、各人がそれぞれ理念をもって業務に打ち込んでもらいたいです。
ナカガワ
投稿者(遠州工機@中川) at 2015年06月08日 11:02
) at 2015年06月08日 11:02
