日本年金機構から125万件の個人情報流出 49
ストーリー by hylom
お詫びで年金が500円増えたりするのだろうか 部門より
お詫びで年金が500円増えたりするのだろうか 部門より
あるAnonymous Coward 曰く、
日本年金機構から125万件の個人情報が流出したことが明らかになった(日本年金機構の発表PDF、朝日新聞)。
発表によると、流出したのは「基礎年金番号、氏名」が約3.1万件、「基礎年金番号、氏名、生年月日」が約116.7万件、「基礎年金番号、氏名、生年月日、住所」が約5.2万件。職員のPCが電子メール経由でウイルスに感染し、不正アクセスが行われて流出したものと説明されている。
公務員は国民様のことを 「お客様」 と呼ぶな! (スコア:3)
日本年金機構の Press Release [nenkin.go.jp] を見たところ、
と、ゲシュタルト崩壊するほど(なんと7回も!)、「お客様」という言葉が使われていました。最近、市区町村の役所・役場でも、「お客様」と呼ばれることが増えてきていて戦慄しておりましたが、とうとう公式の Press Release でも使われるようになってしまったんですね。
「主人(host)」と「お客様(guest)」は本来対等な関係ですが、国民主権の国家において、国民と公務員は対等ではありません。国民が政治権力の源であって、公務員はその召し使いに過ぎないのです。公務員は英語では civil servant [weblio.jp] であり、翻訳すると「市民の召し使い」となることからも分かります。
「召使」であるところの「公務員」は「国民様」をなんと呼べば良いか。その答えはズバリ「ご主人様」です。
と書くべきでした。
せめて、「国民様」や「国民の皆様」としていただきたいものです。市区町村の役所・役場であれば「市民様」「区民様」「町民様」「村民様」も許容します。
お詫びで500円増えたとして (スコア:2, おもしろおかしい)
その代わりに、税金が 1500 円増えます。
マイナンバーもやられるだろうな (スコア:2)
Re: (スコア:0)
公的機関の情報漏洩の抑止力は、漏洩の原因をつくった職員への刑事罰くらいしか無いようなきがする。
そのくらい気を引き締めて業務にあたれ、生半可な知識と意識でシステムをいじるな、ってことで。
Re:マイナンバーもやられるだろうな (スコア:3, すばらしい洞察)
精神主義じゃどうともならんでしょう。仕組みで防がないと。
Re:マイナンバーもやられるだろうな (スコア:1)
> 精神主義じゃどうともならんでしょう。仕組みで防がないと。
マイナンバーの漏洩を防ぐ/漏洩しても使い道がないようにする仕組みとして、
事業者ごとに、個人を示す識別番号の値を変えるって方法が、昔、
http://takagi-hiromitsu.jp/diary/20040822.html [takagi-hiromitsu.jp]
の末尾に示されていて、確かにこれは今なら技術的に可能だし、うまい手だなと
思った記憶があるんですが、マイナンバーが、こういう仕組みを採用しなかった
理由って何なんでしょう。
Re: (スコア:0)
同意
このニュースを見て「仮想デスクトップにしましょう」とか
各種「ソリューション」を売り込むベンダーが数社現れるんじゃないかと思います
採用されるかはともかく
Re: (スコア:0)
メール受信でウィルスにやられるような体制じゃ、
どんなセキュリティ対策しても無駄ではなかろうか。
精神論というより、最低限のIT知識持たずに「個人情報データ」を扱うなと言うんだよ。
Re:マイナンバーもやられるだろうな (スコア:3, すばらしい洞察)
>最低限のIT知識持たずに
そういうのが精神論なんだよ、仕組み的に防ぐことが出来なければ
必ず事故る。マーフィーの法則通りです。
Re: (スコア:0)
その通りです。フールプルーフが必要ですね。
Re:マイナンバーもやられるだろうな (スコア:2, すばらしい洞察)
バカをなめるな。
奴らは我々が苦労して張り巡らせたバカ除けの、必ず斜め上を飛び越えていく。
バカをなめるな。
Re:マイナンバーもやられるだろうな (スコア:1)
最低限のIT知識とやらを定義してみなよ。たぶんあんたは添付を踏んで叩かれる側だよ。
交通事故なんか死ぬと分かってても起こすときは起こして同乗者共々死ぬんだから、人間に何を期待してもダメなんだよ。
だからそもそも添付をサーバで落とすとか、原理的に起こらないようにするわけ。
Re: (スコア:0)
また、極端な。
車を例に上げていますけど、何のために免許があるのか考えてみては?
最低限の知識で全てを完璧に防ぐことはできませんが、
それを理由に最低限の知識が必要ないなどというのは極論です。
Re: (スコア:0)
「システムや運用規則を作る側のIT知識や安全意識が足りてない」
という問題と
「システムを利用するオペレータのIT知識や安全意識が足りてない」
という問題は別物ですよね。
#2823475や#2823481は確実に前者の意味で意見を述べているけれど、
#2823473は前者の意味で書いてる可能性がありそうに見えるけど曖昧だし、
#2823487は確実に後者の意味で考えててそりゃおかしいだろうと。
Re: (スコア:0)
そりゃそうなんだけど、
どんな馬鹿でも情報漏洩しない仕組なんてものを考えるよりは、
ある程度の教育と試験による情報取扱者の選別の方が現実的だよ。
Re: (スコア:0)
その仕組み作る段階で手を抜くかどうかの話でしょう。
現状、自主的な安全意識にまかせている(精神主義)部分を、
何らかの動機・圧力によって安全側に振って作業させようと。
# 気合で乗り切れ系の精神論はクソだけど、それとはちょっと違う
Re: (スコア:0)
いやいや、精神主義ではどうにもならないのは同意するけど、
これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
読み書きを教えるのと大して変わらない。
まさか、学校で読み書きを教えてもどうにもならないとか言わないよね。
Re: (スコア:0)
> これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
セキュリティ教育でどうにかなるレベルは越えてます。
こんな感じ。
http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf [npa.go.jp]
標的型の場合、ウィルスも、アンチウィルスソフトをすり抜けると想定すべきだし、
組織外の乗っ取られたユーザーから届いた場合だと、Received: ヘッダを目視確認
したとしても正常な内容だし。
Re:マイナンバーもやられるだろうな (スコア:1)
例によって自宅持ち帰り+自宅PCウイルス感染かと思ったら、職場のPCが感染したんだな。
そうなると職員個人というよりはシステムがよろしくないと言うべきではないかと。
システムを作った職員に責任がある、というならばそうかもしれませんが。
Re:経緯 (スコア:2)
しかし、個人情報が流出したことについては、先月28日に警視庁からの情報提供で初めて分かった [nhk.or.jp]そうですよ。
ということなので、その間、じゃじゃ漏れになっていたのではないでしょうか。
いろいろ問題がありそうです。
Re: (スコア:0)
「検知したウイルスについては除去を進めています」
とのことなので、ウイルスの検知自体はできているようですね。
メールの自動チェックとか導入してなかったんですかね。
Re: (スコア:0)
漏洩した省庁の事務次官を懲戒免職で。
下っ端を罰しても無駄。
Re: (スコア:0)
会社で言うところの、最高情報セキュリティ責任者 (CISO) 相当の人が責任を取るべきでは? …もし仮に居るとすればですが…。
Re: (スコア:0)
ホームページにこれの情報発信してないのね、まだ。
あまり重要なことと思っていない、または、
誰の責任にするか協議中?
Re:マイナンバーもやられるだろうな (スコア:1)
重要なお知らせでなく、プレスリリース [nenkin.go.jp]に載ってます。
誰も信じちゃいけない、裏切られるから。
私を信じないで、貴方を裏切ってしまうから。
Re: (スコア:0)
対策の手を抜いた、対策の提言を無視した、などの責任があれば容赦なく首トバしてもよいと思う。
だけど対策をちゃんととっててどうにもならなかったケースでまでそれやると産業が死ぬからなぁ…
Re: (スコア:0)
そんな公務員をも公務員(裁判官)が庇うんだぜ、この国は。
幾ら国旗掲揚、君が代斉唱の公務命令を無視しても、裁判官が庇って頸が繋がるのだからな、この国は。
Re: (スコア:0)
今回の件と何が関係がある?
今回の件は明らかに「対策の手を抜いた、対策の提言を無視した」に相当するでしょ
昨今の個人情報流出事件の多さ、手口など職場教育だけでなく報道でも散々目に耳にしてるのに
その初歩の初歩からやらかしてるんだぜ
今回の経緯をちゃんと見ろよ
対策をちゃんとやってないだろ
Re: (スコア:0)
マイナンバーを漏洩させた企業には、罰則が設けられてるんですよね。
それと大差ない情報漏らして、罰も何も受けない年金機構はヌルいと思う。
誰が責任取るんだ ? (スコア:1)
処分の内容も公表してほしいぞよ
公務員だろ
危機感無く添付ファイル踏んだ間抜けな担当者?
添付ファイルをスルーさせる運用のサーバー管理者?
無作為無知の上長?
外部対応の追加費用とか
いろいろ対策&始末にかかった費用も公表してほしいぞよ
で、どう責任取るんだ?
Re:誰が責任取るんだ ? (スコア:1)
要求仕様にヒューマンエラー対策を抜かして、多層防御 [wikipedia.org]を骨抜きにした奴が責任取るべきだと思う。
Re:誰が責任取るんだ ? (スコア:1)
常勤の正および准職員約12000人 http://www.nenkin.go.jp/n/www/info/index.jsp [nenkin.go.jp]
のほかに1万人内外の有期雇用の職員 https://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E5%B9%B4%E9%87%91%E6%... [wikipedia.org]
ということなので非正規労働者がスケープゴートにされて終わりなんじゃない?
// 上記2サイトの常勤職員数に差があるので最新の非正規職員数はもっと多いかも。
Re: (スコア:0)
> 誰が責任取るんだ ?
何言ってんだよ。オマエらの年金が無くならないように管理してやっているんだぞ。
何様のつもりなんだよ。
と、思っているに違いない。
Re: (スコア:0)
発足当時から無駄遣いして年金を目減りさせ、受給者の書類を無頓着に捨てて記録がないので払いません
でも金持ってるの俺らだからー
と、思ってますね(但しパート職員は除く)
数十件とか数百件とかなら分かるけど (スコア:1)
一人の職員から何百万物クエリーを受け付けるというのがそもそもおかしい気が。
まさか、職員なら短時間のうちに全データ取得可能になってたりしませんよね。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
ほんとコレ
馬鹿がウィルスメール開封したくらいで流出するようじゃあ
この職員がやらなくたっていずれ流出する
まあ開発者としては、こんなあらゆる自治体のPCで素人にも使えるようにして、なおかつ情報流出が絶対許されないシステムを開発する人に同情するが
Re:数十件とか数百件とかなら分かるけど (スコア:1)
発信元にエラい人の名前をかたったメールを同時に職員全員に送ったとか、職員が必ず開かないといけないメール(給与明細とかね)に偽装したとかで、複数の職員が引っかかったのでは?
Re: (スコア:0)
アクセスで保存して、共有フォルダに置いていました、とかね。。。ありそう。
Re:数十件とか数百件とかなら分かるけど (スコア:2, おもしろおかしい)
ご名答
> 通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。
http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/ [nikkeibp.co.jp]
状況が知りたいですね (スコア:1)
どういうアンチウイルス使ってたとか、どういうメールソフト使ってたとか、何時頃に起こったとか、ユーザの年齢とか、そういう参考になりそうな情報。
Re:状況が知りたいですね (スコア:1)
どんな権限で使ってたのかが重要かも。
Admin?
UAC切ってた?
易々と外部から入ったプログラムを実行できるところが…
なんでインターネットにつなぐんですか? (スコア:1)
インターネットなんかが普及する以前は独立したオンラインシステムとやらが
稼動していたはず(ソースはうちの父)なのに、なんでそれを捨てて、あえて
漏洩の危険があるインターネットにつなげたんですかね。
つながなきゃ、すくなくともこういう形での漏洩はないよね?
Re: (スコア:0)
捨てなきゃ捨てないで
いまだにこんな遺物をどうのこうの
若者のために (スコア:0)
年金と保健を分離してください。
安保法案への関心をそらすため? (スコア:0)
陰謀論が好きなので...
ピントのずれたコメント大杉 (スコア:0)
これって環境知ってる人物じゃないと出来ない犯行だと思うんだけど。
現在入場中の要員に留まらず、退場済の要員まで身辺調査が行われる
ことになるでしょ。
これをきっかけに国絡みの開発で入場のハードルがいきなり高くなんじゃ
ねーの?
標的型攻撃するまでもない杜撰な管理なのでは? (スコア:2)
主に日本年金機構の関係者が雑談しているスレ [2ch.net]に次のような書き込みがあります。ウイルス感染の事実が一般に公開される前の書き込みなので、中の人の書き込みの可能性が高いです。
不正アクセス先は、LANにつながるファイル共有サーバー [nikkeibp.co.jp](たぶん Windows ネットワーク)で、そこに個人情報を含むファイル(エクセルやアクセスファイルかな?)が置かれていたとのことなので、それこそ Winny などのファイル共有ソフトで流れているような一般的な情報流出系マルウェアを実行しただけでも、このような事態となります。
「環境知ってる人物」でなくてもできるレベルの犯行だと思いますよ。
Re: (スコア:0)
報道によると、先月初頭にはウィルス感染が発覚して、
その後対策打って、
28日は警察から情報流出してたぞオラと言われた日。
そのスレには、内部通達時点では書き込まれていないと思われますが。
Re: (スコア:0)
たぶんしっぽを切っておしまい。
非正規雇用で不安定な雇用環境にある人は良く知っているとおもうけど、年金機構のセキュリティなんてザル以下だ。
失業すると国民年金に入ることになって、実際は支払減免で払わなくていいんだけど、よく似た名前の外部機関から電話かかってくるわけよ。
あなた、払っていませんね、犯罪ですよ、すぐ払わないと大変なことになりますよ、って言って。(内容は適当)
つまりさ、払っていないという情報がどこかから漏れていて、オレオレさんたちが電話してくる。
年金機構になる前から勝手に納付状況覗いていたりしたらしいけど、それから全然変わっていない。
中の人総取り替え以外に健全化する方法なんてない。