日本年金機構の個人情報流出に関する再発防止に見る自社のセキュリティ対策

不正アクセス 日本年金機構における不正アクセスによる情報流出問題は、流出件数の多さや、その問題のある管理方法について多くの批判を受けることになりました。そして、原因究明と再発防止のための検証を行う情報流出事案検証委員会が設置され、先日、検証報告書が公開されました。

 この報告書では、情報流出について、事実の認定、標的型攻撃と情報流出の原因を行い、再発防止策を提言しています。この再発防止策の「人的体制の整備」については、一般企業が情報を漏えいを防止するための対策として、参考になることも多いため、内容を確認しておきましょう。
セキュリティ対策本部の設立
 機構には、副理事長をトップとする形だけの情報セキュリティ体制があるが機能していなかった。早急に、十分な判断力のある最高情報セキュリティ責任者の下にセキュリティ対策本部を設立し、役職員の役割・責任・権限を明確にし、各自が自らのなすべきことを熟知し、その責務を果たせるようにすべきである。そして、専門機関などと連携し最新の情報を入手すると共に、有事の際に共同して対処できる関係を構築しておくべきである。
CSIRTの設立
 機構は、膨大な個人情報を取り扱っていながら、緊急時に対応すべきCSIRTを設けていない。機構内の的確な判断力を有する幹部から適任者をトップに選び、外部専門家の支援を受ける体制のCSIRTを設立すべきである。その場合、現場で作業するメンバーをも含めた機動的に動ける体制にすべきである。
※CSIRT
 セキュリティインシデントに対応するための組織。平時はインシデント情報等の収集・分析とそれに基づく対応方針・手順の策定にあたり、インシデント発生時には緊急対応を担う。
共有フォルダなどの個人情報の一元的管理と整理
 機構の共有フォルダには、膨大な個人情報が漫然と積み上げられ、これを一元的に管理していなかったことから、共有フォルダに保管されていた情報の調査に長時間を要し、いまだにその全容が明らかになっていない。
 個人情報は、インターネットの環境から遮断し、やむを得ないものは分割して厳格に管理すべきである。その際、現場の実情を理解し守れる規則を作るとともに、作った規則は必ず職員に守らせることが必要である。
教育訓練の徹底
 サイバー攻撃の端緒を把握するのは、PC端末を扱う者全てにその機会があるから、そのポストを問わず教育訓練の実施が必要である。特に幹部には、リスク管理や危機管理の在り方などのセキュリティマネジメントの教育研修を、その他の職員には擬似メールなどによる実践的な訓練が必要である。
外部監査の実施
 独立した専門家による情報セキュリティ監査を行う必要がある。内部の監査機能が不十分である以上、外部の目で問題点を発見するのは民間では当然のことである。また、一連の再発防止策を講じた段階で保証型セキュリティ監査を受けることが望ましい。
明確な情報セキュリティポリシーなどの策定
 機構の情報セキュリティポリシーや手順書は、標的型攻撃を予測したものではなかった。このことが今回の攻撃に対し、適切な対応ができなかった一因でもある。速やかにこの標的型攻撃に備えた明確で活用しやすい情報セキュリティポリシーや手順書を策定すべきである。

 情報漏えいの問題は、普段、問題なく実務が処理をされていると、どうしても危機管理意識が低下していくものです。今後、マイナンバー制度が開始されることで、情報セキュリティーへの関心はさらに高まっています。この報告書も参考に、自社の体制整備を進めていきたいものです。


参考リンク
厚生労働省「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書について 検証報告書(要約版)」
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-01.pdf

(宮武貴美)
http://blog.livedoor.jp/miyataketakami/

当社ホームページ「労務ドットコム」にもアクセスをお待ちしています。

facebook最新情報の速報は「労務ドットコムfacebookページ」にて提供しています。いますぐ「いいね!」」をクリック。
http://www.facebook.com/roumu

当ブログの記事の無断転載を固く禁じます。