日本年金機構がサイバー攻撃を受けて、公的年金の加入者・受給者の個人情報125万件が流出した。流出件数はさらに増える可能性があり、犯罪に悪用される恐れもある。二次被害が起きない対策を講じるとともに、捜査当局と協力して侵入者の特定に全力をあげてほしい。

 流出したのは、基礎年金番号と氏名、生年月日、住所。年金関連の通知を出すために管理していた「情報系システム」に不正に侵入された。

 このシステムは、一部の職員に見る権限が限られていたものの、職員に届いた電子メールの添付ファイルにウイルスが仕込まれていた。

 これまでに①不正アクセスが発覚した5月8日以降も添付ファイルを開ける職員がいた②警察に相談するまでに約10日かかった③漏れた情報のうち55万件分については内規が定めるパスワードの設定がなされておらず、情報がそのまま外部に出てしまった、などの事実が明らかになっている。

 こうした事実を踏まえれば、機構の備えもその後の対応も十分だったとは言いがたい。

 機構については、個人情報保護に関する評価が5年連続で5段階の下から2番目で、不十分であることが厚生労働省からも指摘されている。

 年金をめぐっては、かつても加入記録の漏れや誤りなどのずさんな管理や、職員が有名人の記録をのぞき見るなどの不祥事が発覚し、社会保険庁が解体されて今の年金機構ができた経緯がある。制度に対する国民の信頼を回復する役割を負う組織での不祥事である。

 サイバー攻撃は年々巧妙になり、対策とのいたちごっこになっている実情はある。それでも情報流出を防ぐにはなにが必要だったのか、どこが不備だったのか、実務的な点検を急いでシステムや運用の欠陥を埋める必要がある。

 流出した情報が振り込め詐欺や悪徳商法に用いられる恐れもある。「対策」を装って高齢者に近づくケースもあるかもしれない。加入者・受給者への注意喚起を含めて被害を食い止める責任が機構にはある。

 来年からは、国民一人ひとりに番号を割り当てる「マイナンバー」制度の運用が始まる。年金だけでなく所得など機微に触れる個人情報を番号に対応させる仕組みには、もとより懸念がある。信用が失墜したままでは本格導入は望めない。

 政府が持つ国民の個人情報の安全管理を政府全体で徹底する必要がある。