写真●日本年金機構の水島藤一郎理事長
写真●日本年金機構の水島藤一郎理事長
[画像のクリックで拡大表示]

 日本年金機構は2015年8月20日、標的型攻撃で125万件の年金情報が漏えいした問題について、調査結果を発表した。同日開かれた会見に臨んだ、日本年金機構の水島藤一郎理事長は「組織としての情報管理体制に問題があった。現場に対してルールを徹底できていなかった」と総括し、謝罪した(写真)。

 調査結果は、機構内に設けた調査委員会が文書でまとめたもので、35ページにわたる。調査方法は「フォレンジック調査」と呼ばれる方法で、ウイルスが感染したとされる端末やサーバーについて、不正アクセスのログ解析などを実施した。対象となったのは、端末31台、認証サーバー1台、共有ファイルサーバー1台だ。

 調査結果によれば、個人情報の流出は5月21日~23日に起きた。標的型攻撃を狙って機構に送付された不審メールは、合計で124通だった。そのうち、メールの添付ファイルなどを開封した職員は、合計5人。年金加入者・受給者の個人情報の流出は、機構がこれまで公表してきた「125万件」以外に、確認されていない。その一方で、機構職員の個人情報が225件流出していたことや、機構内の業務マニュアル、業務用のメールアドレスなども流出していた可能性があることが新たに分かった。

 標的型攻撃による情報流失の防止策、および事後対応が不十分だったと調査結果は指摘している。不審メールの送信元メールアドレスに対して受信拒否設定を怠ったことや、機構全体のネットワークをインターネット接続から遮断しなかったことなどだ。水島藤一郎理事長は、「適切な対策がとれていれば、情報流出を防ぐことができた可能性があった。断腸の思いだ」と話した。

 内閣サイバーセキュリティセンター(NISC)も同日、日本年金機構の個人情報流出問題について、調査結果を発表している。

日本年金機構の発表資料(PDF)
NISCの発表資料(PDF)