忘れる前に覚書。優しい文章を目指します。
ザ・覚書 ザ・覚書
出来るだけ子供にも、わかりやすいように書いて行きたいと思います。

PCバージョンでサイトを表示しています。
【ザ・覚書 3クリックアンケート実施中】
暑さの一番の原因はなんだと思いますか?
あなたの支持する政党はどの党ですか?
ザ・覚書のトップページに戻る今のページの関連ページのリストへ

2015年6月 日本年金機構の年金情報漏えい流出事件

☆2015年6月 日本年金機構の年金情報漏えい流出事件

2015年6月上旬。
マイナンバー制度の話が進む中、
国の日本年金機構が管理する年金の情報が、漏えいしたというニュースが流れました。

------------------
日本年金機構という組織は、
昔の社会保険庁という組織の後継組織。
昔の社会保険庁(厚生労働省の一部)という所は、
年金と保険を扱っていたようです。

2007年頃に色々悪いことがバレ、ずさんな年金の管理(消えた年金問題)をしたり
有名人の年金記録をのぞき見したり、裏金を作ったり悪い事をしていたりして
2010年に廃止された組織で、
それを刷新して2010年1月1日に
社会保険庁の年金部門の業務を引き継ぐ、日本年金機構という組織が出来ました。
(保険部門は、全国健康保険協会に引き継がれたようです。)

日本年金機構は、
厚生労働大臣から委任と委託を受け、
年金に係る一連の運営業務を担う、非公務員型、特殊法人。
全国に312か所あるそうです。
職員は、公務員ではないが、給料は税金から出ているそうです。

厚生労働省内ではなく、
外部組織にした事で、何か問題があった時、
国の責任を逃れる目的もあるのかも知れません。

2007年の消えた年金問題では、第1次安倍政権に大打撃を与え政権崩壊のきっかけを作りました。

また、日本年金機構のQ&Aには、「個人情報の漏えいが心配」という質問に
「個人情報の取り扱いに万全を期している」とありました。

取り扱う所によっては、万全とはそういう程度のもののようですので、気を付けましょう。

ただ、年金の制度は政府の都合で色々変えられて、とても複雑なものになっているようです。
------------------

今回、流出したのは、情報の項目は、
基礎年金番号と氏名:約3万1000件
基礎年金番号と氏名と生年月日:約116万7000件
基礎年金番号と氏名と生年月日と住所:約5万2000件

基礎年金番号というのは、年金記録を管理する為に、1人に1つ割り振られた番号。

合計で、約125万件。

年金の加入者数は、6736万人(2012年の時点ですが)らしいので、
加入者の約1.9%の人達の情報が漏えいした事になってしまいます。

またこの件数は、更に増える事になる可能性があるようです。

今の所(2015年6月2日)、年金額を管理するシステムへの
不正なアクセスは確認されていないそうですが、あやしいですね。

追記:2015年6月22日
基礎年金番号と氏名と生年月日と住所:約1万5000件
合計で、約101万4653件。
に訂正される。
既に亡くなった人や重複している人を除いたらしいです。

内訳は、受給者52万5795件。現役48万5858人。






・なぜこうなったか?



2015年5月8日~18日

「複数」の日本年金機構の職員が、
パソコンの電子メールの、ウィルスが入った添付ファイルを開封してしまったようです。

------------------
添付ファイルというのは、メールに一緒に付けるファイルの事で、
エクセルのデータとか、PDFのデータとか、画像ファイルとか、環境さえ整えば、
自分が扱えるどんなファイルでも添付できる。
メール文書に追加して一緒に送られるもので、
ウィルスが仕込まれている場合もあり、その場合開封する事で
(実際はなんらかの処理を実行)感染したりする。

でも添付ファイルというのは、プライベートやビジネスで使う事はごく一般的で、
誰から送られたとかのメールアドレスの確認とか、ウィルス対策ソフトで守ったりする。

メールの添付ファイルが全部ウィルスと勘違いしている人もいる。
------------------

ウィルスは新種だったので、ウィルス対策ソフトでも検知できなかったらしい。
これでパソコンが感染。
日本年金機構の端末にはウィルス対策ソフトだけでなく、ファイヤーウォールはちゃんと入っていたのかな?


一部の職員だけ見る事が出来る「情報系システム」
(年金の情報がある共有サーバー(?))
に勝手に接続されて(?)、その感染したパソコンを経由して
データを盗まれたらしい。(2015/06/02時点情報)

(2015/06/03時点情報)
こうではなく、職員がサーバーからパソコンにダウンロードしていた情報が盗まれたという可能性もあるらしいです。

その後、感染したパソコンから外部に情報を送られる。

その外部への踏み台にされたというのが、東京港区のある海運会社のサーバーらしい。
他にもどこかのサーバーが経由の踏み台にされ、悪者の所にデータが届いてい可能性があるらしい。

日本年金機構は、内規でパソコンに置くデータに(?)パスワードを設定する事を決められていたそうですが、
盗まれた中には、パスワードをしていない情報が約55万(流出の半分くらい)あったそうです。
ルールを無視して作業フォルダ(共有)にパスワードをしていない情報を保存していたそうです。
ずさんですね。

(2015/06/05時点情報)
流出した125万件の情報は、949個のファイルにに入っていて、
その内、パスワードを設定していたのは7個のファイルだけだったそうです。


・対応


流出した人に個別に文書で謝罪するとの事。

電話で日本年金機構から情報の流出に関しての連絡はしないとの事で、
日本年金機構から電話があったら、
悪者がその情報を使って悪い事をしようとしていると思わないといけないらしい。

ついでに書いておくと、その文書すら偽物かも知れないので、
文書が来た人も、用心の為、専用電話番号に確認すべきかと思います。

不審な連絡があった場合、
0120-818211の専用電話番号に確認して、という事だそうです。
繋がらない場合は、近くの年金事務所にとの事らしいです。

ただし、専用電話窓口は今の所、6月14日までという事らしいです。短い!
その後は、ホームページで告知らしいです。
(6月22日時点でも同じ電話番号で、電話受け付けしているようなので、批判があって伸びたようです。)


流出したすべての人の基礎年金番号を変更するそうです。

会社とかの事務の人は、また面倒が増えるんじゃないでしょうか。

追記:2015年6月23日時点
基礎年金番号と氏名と生年月日と住所の4情報の流出者には、通知が発送済みらしい。
これから残りの3情報流出以下の人に通知するらしい。

新しい基礎年金番号は、9月以降になるらしい。(遅いよ・・・。)

・悪用される可能性


その流出情報を利用して

・なりすまされて住所変更がされてしまうらしい。
 (年金番号・氏名・生年月日で住所変更が出来てしまうらしい。← これで良いのか?)
 その後、年金記録を請求(年金情報の盗み見)されるかも。

・本人に成り済まして年金がだまし取られるかも。
 (もし金融機関の情報が漏れれば、年金を盗られてしまうかも知れないらしい。)

・振り込め詐欺に利用されるかも。
 (日本年金機構を名乗る電話とか。本当は日本年金機構を名乗る電話がかかって来ることはないらしい。)
 「あなたの年金情報が盗まれた可能性があるから確認させて」とかいう電話は、日本年金機構が
  かける事はなく、悪者からの電話らしい。

・いらないダイレクトメールが送られるかも。

・変な勧誘があるかも。

・パソコンなどのへの不審なメールが増えるかも。

・誰がどう責任を取るのか?


日本年金機構が被害者でもあるんでしょうけど、
業務の流れの問題や危機管理なさの問題のような気がします。

責任者や担当者が減給や降格や、解雇されたりなんでしょうか?
甘いと思いますし、体勢の問題もあるかと思います。

普通の民間なら賠償やらなんやらで、破産や破滅する事もあるかと思いますが。

また、元々、この仕事が出来るだけのシステムや予算は、ちゃんとあるのかという心配もあります。

追記:2015年6月23日時点
日本年金機構の6月末の賞与を常勤理事の分だけ見送りするらしい。(これだけ?)


・ちゃんと犯人を逮捕できるのか?


海外から攻撃されていた場合、
日本の警察は捜査して、それを特定し、責任を取らす事は出来るんでしょうか。

またそのリストが目的の犯行の場合、盗む人が減らないと駄目なので、
売買・利用にも重い刑を与えないと、いけないかと思います。

・感想など


なぜ重要な情報があるサーバーに繋がるシステムを、
世界に繋がるインターネットに繋がるパソコンとかを繋げるんでしょうか。
この時点で、危ないかもと思う人はいなかったんでしょうか?

インターネットに接続する必要があるパソコン(メールや作業をするの)は、
それはそれで別に置いておけば良いような気がします。

情報サーバーへのデータのやり取りは、インは、物理ディスク等で行って、
アウトは、書類やせめて物理ディスク等で個別のデータで
逐一記録という方法は出来なかったんでしょうか?

そうすれば、インターネットを経由した漏えいは減らせるかと思えます。
管理がずさんなら、書類持って行かれたら一緒ですが。

最低、内部しか繋がらない環境で作業すべきかと。

不便でしょうけど、情報を守ると言うのは不便なものでしょう。


日本年金機構には、もっと心配性で、体制が変えられる人がいるかと思います。
そもそも民間がこういう情報を扱うべきなんでしょうか?

また漏えいした情報を使ったり利用した罰則もどんなものがあるんでしょう。


2015年10月開始予定のマイナンバー制度の場合、漏えいしたら
もっと多くの情報(将来は預金情報とか、病歴とかもするかもらしいまで)が盗まれて、
悪事に利用されるかも知れません。

日本のセキュレィティ能力と、管理する側の危機意識の無さから
日本では、やはりやめた方が良いかと思います。

・経緯など


2015年5月8日
 内閣サーバーセキュリティセンターが日本年金機構(?)の情報端末の
 異常に気付き通報。

 福岡県内の日本年金機構の事務所のパソコンでウィルスが確認。
 その1台のパソコンだけのLANケーブルを抜いて隔離。

 (ここでちゃんと対応をしなかったのが大きな問題)

2015年5月18日
 東京の日本年金機構の事務所のパソコンも感染を確認。

2015年5月19日
 日本年金機構が、警視庁に相談。

2015年5月28日
 警視庁が個人情報流出125万件を指摘。
 ネット掲示板(2ちゃんねる)に内部の人間(? 誰かはわかっていない)が
 感染した事(内部情報)を書き込んでしまう。
 意識が薄いというのもありますが、この時点で正式に公表していない事にも問題があるかと思います。

 この日にやっと厚生労働大臣に報告。

2015年5月29日
 やっと日本年金機構のすべてのパソコンのイーターネット接続を遮断。

2015年6月1日
 ニュース等で一般に公表。
 公表まで4日も掛っている。
 記者会見で、日本年金機構の理事長さんらが、謝る。

2015年6月1日時点
 警視庁が不正アクセス禁止法違反や不正指令電磁的記録作成などで捜査開始している。

2015年6月3日
 東京港区の海運会社のサーバーに情報が残っていた事がわかる。

 衆議院の厚生労働員会
 セキュレティーの甘さへの批判が相次ぐ
 「漏れた年金問題」

 日本年金機構が、情報が漏れてしまったらしき人、9000人にお詫びを発送したらしい。
 全部の(?)お詫びの発送まで2~3週間かかるらしい。

 これによると思われる電話による詐欺未遂が起こり始めていた。(6月20日情報)

2015年6月4日
 日本年金機構の職員を名乗るなどの不審な電話が、全国で43件。

 現在わかる範囲で、27台のパソコンが感染していたと説明がある。

2015年6月5日
 不審な電話が、全国で111件に。

2015年6月9日
 塩崎厚生労働大臣、今回の問題でなりすまし被害を受けた受給者の
 「保証を行う考えは、今、持っておりません」と発言・・・。

2015年6月18日
 年金機構ではないが、協会けんぽもウィルスの感染の疑いと発表。
 これは今のところは、流出は確認されていないそうです。


記載:2015年6月頃






Twitter Facebook Google+ はてな Pocket LINE




一言掲示板です。なにかありましたら以下に書いて書き込みボタンを押して下さい。
管理人による書き込みの確認後、荒らし書き込みでない場合に表示させていただきます。
悪意ある書き込みや挑発的な書き込みと思われる内容は、表示させません。
その為、ちょっと書き込みから表示までに時間がかかってしまいます。ご了承下さい。

お名前

コメント




【ザ・覚書 3クリックアンケート実施中】
暑さの一番の原因はなんだと思いますか?
あなたの支持する政党はどの党ですか?

今のページの関連ページのリストへ
ザ・覚書のトップページに戻る
全ページのリストへ