【重要】日本年金機構- 事故発生から1ヶ月

日本年金機構の個人情報流出問題で、年金機構が発足した2010年1月に個人情報を扱うファイルにパスワード設定する内規を規定し、2013年8月から 全国の年金事務所など全部署にパスワード設定を徹底する指示をおこなっていたが、全部署で昨年11月までの4回(13年8月、11月、14年5月、11月)にわたり、「パスワード設定の対策完了」という虚偽報告をおこなっていたことがわかった。

流出した約125万件が入ったファイルの99%はパスワードが付いていなかったが、虚偽報告で情報管理の実態が把握できず、サイバー攻撃への備えが遅れた可能性もあり、厚生労働省の第三者検証委員会は今後、虚偽報告の原因を検証していくが、事故発表から1カ月が過ぎたが 流出元である機構の共有サーバー(全国で計406台)には101万人以外の個人情報が保存されていた可能性が高く「流出被害」の全体像はいまだ不透明なままで、全容解明は長期化の様相を呈している。

<事故発生から1ヶ月でわかった事>

1)パスワード設定を徹底する指示が行われたが 全部署において4回にわたり虚偽報告されていた

約125万件の流出被害を受けたのは、全都道府県に住む約101万人。基礎年金番号と氏名、生年月日、住所の最大4情報が流出した。年金機構の説明によると、これらの情報が入っていたファイルは約950個で、うちパスワードが設定されていたのは1%程度だった。

 

2)ウイルス感染したパソコンは、計31台に増えた

調査の結果 ウイルスに感染した機構のパソコンは計31台に上っていたことが分かった。 これまで機構側は、感染が確認されたパソコンは九州ブロック本部の3台と、機構本部の人事管理部の24台の少なくとも計27台と説明していたが、さらに4台のパソコンでウイルス感染が確認された。

 

3)内規のルールに従わない運用が各地の年金事務所などでおこなわれていた

機構は2010年に定めた内規では、個人情報はインターネットとつながってしまう共有フォルダーでは扱わず、例外的に扱う際はファイルにパスワードを設定することと規定さいていた。しかし、現実は、各地の年金事務所で ファイルを共有フォルダーに保存した上で、パスワード設定をおこなわず、ネットとつながったパソコン端末で日常的にフォルダーを利用していたことが判明した。

 

4)基礎年金番号や氏名などの一部をDVDなどの記録媒体で持ち出し、内容が推察できるファイル名前で、パスワード設定しないまま 情報系サーバーやパソコンに保存されていた

流出した約125万件の情報は、勤務先情報や所得、年金受給額などの記録を扱う基幹システムから、基礎年金番号や氏名などの一部をDVDなどの記録媒体を使って持ち出し、ファイルの名前も 外部の人間が見て内容が推察できる状態でパスワード設定しないまま 年金事務所などの情報系サーバーやパソコンに保存されていた。

 

5)年金情報流出の対応費、現段階で総額 約8億円

基礎年金番号を変える約101万人に対して9月以降に送る新たな年金手帳の郵送費を4億円程度と見込み、6月1日に設けた専用電話窓口の費用は6月分だけで3億円強、発送を終えた謝罪文の郵送費はすでに約1億円を超えている。