年金機構の情報流出にみる危機管理

あおのです。
季節は夏に近づき、雨の多い時期となってきました。
みなさま、いかがお過ごしでしょうか。
久しぶりになってしまった更新です。

さて、あおのはIT関係の企業さんのサポートをすることが多く、またPLや医療事故含めた事故対策等に携わることも多くあります。
そんな感じのお仕事していると、当然、情報管理関係のご相談や講演依頼などもお受けすることが多くなっています。

というわけで昨今耳目を集めている年金機構の情報流出事故が今回の話題です(安保法制で薄れつつありますが)。

細かな技術論はさておいて、今回の情報流出をざっくり言うと、知らないアドレスから業務に関するものを装った題名でメールを受信したところ、添付ファイルをクリックしてウイルスに感染してしまい、サーバーから個別のパソコンに保存していた個人情報が流出した、という経緯と報道されているように理解しております。

この報道を聞いて考えたのは、インシデント・エラー防止の体制と意識が薄過ぎる、ということです。

通常、対外的な対応をする役職にある方は、見知らぬアドレスであっても、明確に迷惑メールの類だと判断しない限り、メールを開いてしまうのは避けられません。
私はこれを非難するのはあまり現実的でないと思います。

でも、本件ではそれを置いても問題が多い。

1点目は実行形式の添付ファイルをクリックした点。
今回の添付ファイルがどこまで偽装されていたかは定かでないですが(まんまexeファイル開いたんだったら恐ろしいですが)、少なくとも、余所から送られた不審なファイルはクリックしない、これはITリテラシー教育の初歩だと思います。
これを教育されていなかったのであれば、それはかなり致命的です。
ついでにそれを開こうとしたら警告が出るなどのシステム構築は、おそらくなされていたのではないかと思われます(普通のWindowsでもありますよね)。
そうすると警告がなされたのに止まらなかった可能性があります。

さらに問題であったのは2点目、個々のパソコンに個人情報を保存していた点。
事業規模にもよりますが、膨大な量の、しかも相当にセンシティブな情報を扱う場合、セキュアなサーバー等にそれを保管し、特定の端末や認証手続きを踏まなければアクセスできないようなシステム構成をしていることが多いものです。
年金機構でも外部へのアクセス可能なシステムと個人情報を扱うスタンドアロンなシステムが直接接続できないようにしていたそうです。
しかし、実態としては、事務処理に不便という理由で、個人情報を媒体で持ち出して、個々のスタッフのパソコンに保存していたと聞いています。
これ、システムを切り分けた意味がまったくありません。

3点目は、事後処理のまずさ。
本件では、外部通信があることに気付いた関係者から、機構に情報提供があったそうです。
しかし、実際に通信が遮断されるまでに1週間ほどを要したと聞きます。
危機管理としては、一件発覚したら氷山の一角と思え!(キッチンに出たゴキブリと同じ)という意識のもと、システムを全体として通信環境から切り離す必要があります。
また、数百件の標的型のメールが届いたにもかかわらず、感染したスタッフは数名。
そうすると、気付いた他のスタッフがいたのに、情報共有もなされなかったことになります。

事故の原因究明と再発防止には色んな理論や実践例がありますが、初歩的な大枠として、ヒューマンエラーとシステムエラーをどう無くすか、ということがあります。
事故が100%起こらないことはあり得ません。
人が介在する余地がある以上、うっかりミスは常に起こり得ます。
今回で言えば、メールの添付ファイルをクリックした人がいたことはヒューマンエラーです。
教育で確率は下げられますが、0にはならない。
そうすると、ヒューマンエラーが生じることを予想してシステムを構築する必要があります。
今回で言えば、システムを切り分けることによって外部へアクセスする端末が感染しても個人情報にアクセスできないというシステム構築が挙げられます。
でも、今回は、事務処理に支障があるという理由で、人為的にシステムのメリットが崩されていますので、ここもヒューマンエラーです。
では、その不便さを無くしてシステムメリットを崩されないようなシステム上の工夫をしたり(事務処理に必要な情報のみを一時的に外部通信端末に表示させる、など)、不便を承知で人為的なシステムメリットの破壊をできないようにする(端末に情報が移せない、警告が出る、なも)等のシステムの構築を行うべきで、ここが欠けているのはシステムエラーです。
またインシデントに気付いたときの対処や情報共有がなされていない点もシステムエラーと言えます。

こうしてみると、危機管理とは、数多の可能性のあるヒューマンエラーやシステムエラーを予見し、防止措置を幾重にも重ねることで、対策の穴から溢れ出たリスクを別の対策が拾い上げるという、多重網の目構造と言えます。
そのような網を幾重にも重ねて隙間を限りなく少なくすることが、危機管理のオーソドックスな、しかし大変難しい手法です。

この考え方はあらゆる業種の、あらゆるシーンで使えますので、頭の隅に置いておくと、最悪の場合の致命傷が防げる可能性が上がる、と理解してください。

と、まぁ、こんな話をするのも、今度、社員教育の一環として情報管理の重要性について企業で講演するため、頭の整理だったりするのです(笑)。

弁護士 青野博晃