■初動遅れ、第三者委報告へ
日本年金機構の年金個人情報流出事件をめぐり、サイバー攻撃やウイルス感染に即応するための職員用マニュアルが存在していなかったことが2日、分かった。機構幹部らが明らかにした。情報セキュリティー関連手引きのほとんどが、職員が内部情報を意図的に外部に漏らすことを防ぐためのルールだった。このため、危機回避の方針が定まらず、ネット回線遮断などウイルス感染時の初動対応が極度に遅れたという。
事件の原因究明や再発防止のために厚生労働省に設置された第三者検証委員会でも、こうした不備を問題視しており、来週にも公表する中間報告に盛り込む方針だ。
幹部によると、事件前に策定していた情報セキュリティーに関するマニュアルは主に4種類。平成23年の「機構で管理する情報の秘密保持のための手引き」では、22年の入札情報漏洩(ろうえい)事件での機構職員逮捕を受け、「漏洩を踏まえ職員が順守すべき事項を記載した」と明記。内部情報を格付けし管理徹底を指示し、不審な職員の通報も義務付けた。
今年春に策定した「自己点検手順指示書」では、法令順守を求めるアンケートを毎月提出するよう役員を除く職員に要求。「ネット上に業務上知り得た情報を公開していない」ことなどの達成度を問う内容だった。また、3月には機構のサーバーの保存ファイルにパスワード設定を義務付ける「フォルダー運用要綱」も策定。「情報セキュリティー対策の手引き」を通じて、パスワードやアクセス権限者を制限する設定を行うよう指示した。
ただ、パスワード設定はウイルス感染に伴う情報内容の流出に一定の歯止めはかけられるものの、流出自体は防げない措置。さらに、これらのマニュアルに「ウイルス」や「サイバー攻撃」に即応するための言及はなかった。
このため、機構は5月8日、内閣サイバーセキュリティセンターからウイルス感染を知らされたのにもかかわらず、同月25日にようやく不審メールをクリックした場合は即時報告するよう職員に通達。外部への情報流出を防ぐため、システムをネットから遮断したのは6月4日になってからだった。
機構はサイバー攻撃の対処について「一定の手順書は作成していた。内容はセキュリティー上の支障があり話せない」としている。
お気に入りの記事を「いいね!」で応援しよう
最終更新日
2015年08月03日 12時17分55秒
コメント(0)
|
コメントを書く
もっと見る