日本年金機構がサイバー攻撃を受け、100万人以上の個人情報が流出した事件は、日本社会を震撼させた。特に企業の経営者やCIO(最高情報責任者)らに、大きな衝撃を与えた。サイバー攻撃という犯罪の被害者であっても、事前事後の対応いかんによっては、情報を流出させた加害者として指弾される。そのリスクを、改めて突きつけられたからだ。
もちろん年金機構のセキュリティ対策や事後の対応、そしてセキュリティガバナンスは驚くほどお粗末で、非難されても当然ではある。職員がウイルス付きメールに引っ掛かり開封しただけならともかく、内部ルールに違反してインターネットにつながる端末で個人情報を扱っていたことは、弁解の余地がない。しかも、すぐにネット接続を遮断しないなど事後の不手際も重なり、未曽有の情報流出事件となった。
事件については、一刻も早く全容を解明し犯人を特定すると共に、流出した個人情報を悪用する二次的犯罪やその被害の防止に全力を挙げなければならない。さらに、年金機構のセキュリティ対策がこれほどお粗末で、ガバナンスも機能していなかった原因や責任を明らかにして、再発防止に向けた実効性のある対策を打つ必要がある。
問題はこの事件が企業や世間に与えたインパクトである。企業の経営者は震え上がったことだろう。個人情報漏洩により謝罪会見で報道陣に向って頭を下げるなど、経営者なら想像もしたくない事態である。
犯罪による個人情報漏洩といえば、2014年7月に発生したベネッセコーポレーションでの流出事件も記憶に新しい。経営者が頭を下げる姿がテレビで映し出され、この事件を機に多くのセキュリティ商談がまとまった。ある金融機関では、数十億円のセキュリティ関連の投資案件が、あっと言う間に決裁されたという。
今回も多くの企業で同じように、セキュリティ関連の案件がスピード決裁されていることだろう。
