年金機構、情報流出は感染15日後から〜新種ウイルスを静観、初動に甘さ

　日本年金機構の年金個人情報流出事件で、外部に流出した時期は最初のウイルス感染から15日後の5月23日以降とみられることが6日、機構などへの取材で分かった。感染したとされるパソコンの大半が東京本部のもので、東京本部のパソコンから不審な通信が大量発信されていた。初動の遅れが大量流出につながったとみられ、流出情報の悪用防止策などで、機構と厚生労働省の対応の甘さも改めて浮き彫りとなってきた。

新種ウイルスを静観

　機構などによると、これまで感染したとされるパソコンは少なくとも27台に上る。最初は九州ブロック本部で5月8日、職員が調達業務で使用するため公開しているアドレスに届いたメールを開封後、1台目の感染を確認。機構はこのパソコンのケーブルを抜いて通信を遮断した。9日には新種のウイルスと判明したが、15日にウイルス対策会社から「外部に情報を漏洩（ろうえい）するタイプではない」と報告を受けたため機構は静観。ウイルス対策ソフトを更新する以外の手を打たなかった。

　だが、18日と20日には複数の職員個人のアドレスに不審メールが届く。このアドレスは公開されておらず、最初に感染したパソコンの端末から職員のアドレス帳が盗み出された可能性が高い。その後、23日には東京本部の人事管理部で19台のパソコンから外部への大量の情報発信を確認。この19台のほか、25〜26日には同じ東京本部の5台も感染したとみられる。

　機構が警視庁に捜査を依頼したのは19日。その後、28日に警視庁から「機構から流出したと考えられるデータを発見した」と連絡を受け、全てのパソコンのインターネット接続を切ったのは29日だった。最初の感染を確認した時点で全てのパソコンをネットから遮断して隔離していれば、約125万件もの情報流出は防げた可能性もあり、機構幹部は「初動に甘さがあった」と認める。

「人数確認に時間」

　機構が情報流出を発表したのは警視庁から連絡を受けた4日後の6月1日。発表の遅れについて機構は「流出したものがどのような個人情報だったか、全体の人数や対応方針などの確認に時間がかかった」と説明する。年金の受給口座の変更などの際は本人確認を徹底し、「第三者に年金が取られる可能性は極めて少ない」と説明していた。

　だが、感染が確認された5月8日から問題公表の6月1日までに、情報が流出した約125万件のうち、計436件で住所変更や受給口座変更の届け出があったことが判明。金銭被害は明らかになっておらず、機構は流出の影響はないとみているが、この436件については自宅訪問するなどして改めて本人確認を行うという。

　事後対応でも混乱した。機構は個人情報が流出した該当者に、6月3日から謝罪文の送付を開始。詐欺被害防止のため機構は電話やメールでの連絡を行わないが、謝罪文では「改めてご連絡を申し上げる」と表記。「誤解を与える」との指摘を受け、修正を余儀なくされた。

厚労省“係長止まり”

　一連の問題では、厚労省の報告態勢も問題視されている。同省では担当係長が5月8日、異常を検知した「内閣サイバーセキュリティセンター」（NISC）から通報を受け、機構に連絡。19日に機構が警視庁に捜査を依頼した際も係長は連絡を受けたが、いずれも上司には報告されていなかった。問題の報告を受けたのは年金局幹部が25日、塩崎恭久（やすひさ）厚労相が28日。6月8日に初会合が行われる検証委員会では、報告時期が適切だったのかを含め議論される見通しだ。

[産経新聞社]