政府サイバーセキュリティ戦略本部は2015年9月11日、同日付で厚生労働大臣に対し、厚労省と日本年金機構のセキュリティ対策の改善措置を求める勧告を出した()。1月に全面施行された「サイバーセキュリティ基本法」(第27条第3項)の規定に基づく初の勧告となる。

図●サイバーセキュリティ戦略本部が2015年9月11日付で出した勧告
図●サイバーセキュリティ戦略本部が2015年9月11日付で出した勧告
[画像のクリックで拡大表示]

 勧告は「1 体制整備」「2 技術的対策」「3 教育・訓練」「4 成果の評価と報告」の4項目にわたって、厚労省と、所管する年金機構が措置を講じるよう求めている。

 厚労省に対しては、同省のCSIRT(情報セキュリティインシデント対応チーム)が機能しなかったことが年金機構からの情報流出につながった経緯を踏まえ、「CSIRTの実効ある体制強化」を求めた。年金機構にはそもそもCSIRTが無かったことを踏まえ、「厚労省は、機構において、CSIRTを速やかに組織するよう、監督すること」としている。

 「3 教育・訓練」の項では、年金機構の職員だけではなく、厚労省の職員に対する教育・訓練も求めている。「厚労省は、所掌の業務において機微な個人情報を含む多くの重要情報を取り扱っており、その適切な管理を国民から期待されていることを各職員に認識させる」ことを勧告した。

 サイバーセキュリティ基本法第27条第3項では、サイバーセキュリティ戦略本部長(内閣官房長官)は、同法が規定する評価・資料・情報などに基づき、「必要があると認めるときは、関係行政機関の長に対し、勧告することができる」と定めている。

 年金機構の個人情報流出事件を受けて、同本部は8月20日に調査結果を出している(関連記事:敵に手の内をさらして大丈夫? NISCの年金機構事件報告書を読み解く)。年金機構自身も調査結果をまとめた(関連記事:「年金機構の態度は論外」、年金情報流出問題に3つの調査報告書が出そろう)。同本部はこれらを踏まえて、厚労大臣に対して勧告をした。

サイバーセキュリティ戦略本部の発表資料(PDF)