同機構によると、今回流出した個人情報は約125万件。最も多いパターンは「基礎年金番号と氏名、生年月日」の組み合わせで約116万7000件、「基礎年金番号と氏名、生年月日、住所」が約5万2000件、「基礎年金番号と氏名」が約3万1000件となっている。被害はさらに増える可能性がある。
今回のような不正アクセスは増えているのだろうか。
総務省によると、昨年の認知件数は3545件。4年前の’10 年と比べて2倍増だ。一方で検挙件数は減少している。昨年の検挙は364件で4年前の4分の1にとどまる。捜査が追いついていない。
行政機関への不正アクセスは減っているが、コンピューター技術に詳しいハッカーのコミュニティーでは、セキュリティーが弱い省庁の話題でもちきりという。
「“厚労省のシステムは穴だらけ”というのは常識。省庁再編時の経緯から、各省庁のシステムと結びついていて通信ポート(システムへの入り口)がたくさんある。以前の官公庁のシステムは専用端末+専用線だったが、パソコン+インターネットでシステムを組むようなり、サイバー攻撃を受けやすくなった」(『電経新聞』北島圭社長)
狙われたのは、業務の“委託先”である年金機構だった。
「厚労省以上に甘いと考えるのが妥当。アウトソーシングなどで中小企業が重要案件に関わるようになり、機密情報を共有するので、中小企業がサイバー攻撃を受けて連鎖的にやられる可能性も高まっている。官公庁や民間企業では、普段からセキュリティー対策の訓練をしているが、ウイルスメールを完全に見抜くことはできていない」(北島さん)
防ぐ手立てはないのか。情報漏洩の対策や調査をしている『ネットエージェント』会長の杉浦隆幸さんは、
「セキュリティーが厳しい組織もあるが、不正アクセスを100%防ぐことはできない。今回のような個人情報の漏洩だと、2~3分で情報が流れてしまうでしょう。被害を最小限に食い止める手立てを講じるしかない」
と述べる。
職員の共有ファイルの一部にパスワードが設定されていなかったとされるが、杉浦さんは
「設定しても容易に解析されてしまうことが多いため、セキュリティーとしてはあまり変わらない」
と話す。被害を最小限にするには、
「侵入されることを前提に、重要情報にはなかなかたどりつけないようにすればいい」
と前出の満永さんは提案する。
来年1月から順次運用が始まる「マイナンバー」制度は大丈夫なのか。社会保障と税の一体改革に関連して、透明性や効率性を高めるのが狙いで、国民に12ケタの番号を割り振る。社会保障、税、災害対策の行政手続きで必要になり、年金も含まれる。
流出事件について、悪意のあるブラックハッカー(クラッカー)の間では「マイナンバー制度への警告だ」との見方も。国による情報の一元管理には不安が残る。
<ジャーナリスト・渋井哲也+編集部取材班>