セキュリティ大国、日本
なにがすごいって、年金基礎番号がメールの添付ウィルスを開封する程度で流出してしまう事件について、もう誰も驚かないこと。生データが職員の持っていたパソコンごと電車に残されていても、非正規職員が名簿屋に横流ししていても、もう誰も驚かない。信頼ゼロという、ある意味で最強のセキュリティ。
— yu koseki (@youkoseki) June 1, 2015日本年金機構が125万件の個人情報を流出させるという大事件をやらかしたのだが、世の中の反応は実に冷めている。米国なら集団訴訟待ったなし、欧州なら担当大臣の首が飛んでもおかしくなさそうな事件なのに、日本には冷笑で済んでしまうようだ。かくいう私も冷笑する他にないし、これから自分が被害対象と分かったとしても、冷笑で済ませるだろう。
はっきり言ってしまえば、私達はもう公のセキュリティを信頼していない。日本年金機構は特殊法人だが、そうした対象も含んだ、広い意味での「お役所」に、なんら期待を抱いていない。そもそも、日本年金機構は社会保険庁という正真正銘のお役所が、かつて不祥事をやらかしまくって、信頼回復のために法人化・非公務員化されたものだ。しかしもはや私達はそんな歴史を覚えていないし、もとより信頼などしていない。
発表によれば、今回の事件(おっと、日本年金機構いわく「事象」)の原因は「電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われ、情報が流出したものと認められます」とされている。なぜメールのウイルスを開封した程度で情報が流出してしまうのだろうか。そんな当たり前のツッコミさえする気力がない。
NHKの記事では専門家が「年金機構は、メールやインターネットで使う端末と、重要な個人情報を扱う端末は分けておくべきだった」と当たり前のことを伝えている。一方、私達は「まあそんなもんだろうな」と思っている。標的型攻撃だと同じ専門家は断じているものの、もっと低レベルな、ぶっこ抜き型のウイルスだったとしても私達はやはり驚かなかっただろう。
あるいは、私達は職員が「業務のため」生データを私用のノートパソコンにコピーして、泥酔して電車の中でパソコンごとなくしてしまったとしても驚かなかっただろう。あるいは、私達は職員が名簿屋に横流ししていたとしても驚かなかっただろう。
日本年金機構のホームページをいま見に行けば「大切なお知らせ」のトップは『平成27年度 「わたしと年金」エッセイを募集します。皆さまふるってご応募ください』である。ギャクが高度すぎる。今回の事件の説明を見るためには、プレスリリースのタブに切り替えて、PDFを読む必要がある。PDFの書き出しは「報道関係者 各位」。流出した人のことなどこれっぽっちも考えていないことが明確で、しかし繰り返すが、もはやそんなことで私達は驚いたりしない。
なにしろ役所のしたことなのだから、いつなにが起きたのか具体的な内容がなくても、今後の対応があまりに不明瞭でも、責任者が曖昧でも、なにも驚かない。「今回の流出の対象となったお客様についてシステム上確認できる体制を確立し、該当するお客様から年金の手続きがあった際には、ご本人であることを確認した上で手続きを行います」くらいなにも具体的なことを言ってなくても、全然いいのだ。
国民の目に見える範囲では誰も明確な責任をとらないだろうし、そのうちまた似たような事件が起きるだろう。組織内ではスマートフォンの持ち込み禁止のようなどうでもいい施策が行われ、地方の窓口は番号の変更などの細々とした事務に終われるのだろう。そうした全てのオペレーションのコストに税金が使われ、私達はそれを冷笑しながら眺めていくだろう。
ブルース・シュナイアーは、安全は感覚と実態が即していなければいけないと言った。そう考えれば、日本のセキュリティは万全である。なにしろ、はじめから誰も信頼していないのだから。最強のセキュリティだ。
来年からはマイナンバー制度がはじまる。一人に一つ、他人に提供してはいけない秘密の番号で、個人毎に番号が記載されたカードが与えられ、役所や勤務先のほか、証券会社や保険会社にも提出する可能性のある番号である。なにが起きるのだろう。このセキュリティ大国で、私達が驚くような事件がまだ存在しうるのだろうか。わくわくするではないか。