年金情報125万件流出から学ぶ
年金情報125万件流出
日本年金機構によりますと機構職員のPC端末に対する外部からの標的型メールを開封したことにより、機構の保有する個人情報125万件が流出してしまったとのことです。
報道等によりますと5月8日にウイルス感染し、機構はその事実を当日に把握していたようです。
しかしながら、抜本的な対策が講じられないまま、大量の情報が流出してしまい、5月28日にはネット掲示板に機構からの情報漏えいの事実の書き込みが行われてしまいました。
その後、機構は政府と調整の上、6月1日に情報漏えいの事実を公表するに至りました。
日本年金機構の備えの状況は?
ウイルス感染発覚後の対応については、現在、衆議院で集中審議されていますが、そもそも情報漏洩に対する備えはどうだったのでしょうか?
日本経済新聞によりますと、日本年金機構は厚生労働省の審議会部会による評価で、個人情報保護の取組に関して5段階評価の下から2番目の「C」を5年連続で受けていたとのことです。
5年間もC評価をなぜ改善できなかったのか、監督官庁の厚生労働省は強制力をもって早期に改善させられなかったのか、今さら後悔しても後の祭りです。
標的型メールで機構が狙われたというよりも、起こるべくして起こってしまった情報漏洩と考えるべきではないでしょうか。
中小企業の情報漏洩対策
あなたの会社の情報漏洩対策に問題はありませんでしょうか。
というより、情報漏洩対策って具体的に何をしたら良いのか、ご存知でしょうか。
そこで、IPA(情報処理推進機構)が中小企業のためのセキュリティーツールをご活用することをお勧めします。
ご参考までにリンク先はこちらです。
報道を見聞きして日本年金機構の管理体制が杜撰だと、批判するのも良いですが、あなたの会社のセキュリティーレベルを一段と上げる機会と捉えましょう。
また、PCやスマホ等の端末はほぼ全従業員が使用するものですので、経営者だけが情報セキュリティー対策をすれば良いというものではありません。
そこで、ITパスポートをはじめとした情報処理関連の資格取得を行いますと、ITに関連した幅広い知識を習得することができますので、従業員の方に資格取得を奨励することも良いでしょう。
さらに、社内に情報処理関連の有資格者がいますと、その方を中心としながら社内全体の情報セキュリティー意識を高めることができます。
中小企業のもしもの備え
近年の情報流出事例ですと、2014年のベネッセHDの顧客情報流出事件が記憶に新しいと思います。
当該事件により、ベネッセHDはお客様へのお詫び等の情報セキュリティ対策費として260億円の特別損失を計上しています。
さらに、ベネッセHDの信用やブランド価値が毀損してしまったため、「進研ゼミ」事業の方針転換を迫られています。
信用やブランド価値を取り戻すことには、大変な時間と努力を要します。
一方、金銭的な損害賠償等につきましては予め備えておくことができます。
そこで、日本商工会議所や全国中小企業団体中央会では「保険」制度が用意されておりますので、会員の方は保険の活用も検討してみるのも一案です。
ただし、「保険」はあくまで情報漏洩が起きた後の金銭的な補てんですので、そもそも情報漏洩が起きないよう事前に防ぐことにこしたことはありません。