年金の個人情報流出事件でわかった分離の重要性

Pocket
LINEで送る

国民の年金データという重要な情報を扱うパソコンで、電子メールのやりとりをしていた、というのがわかって少々驚いています。

 

企業の情報担当の方ならご存知だと思うのですが、金融機関などで採用されている専用線(wikipedia)と呼ばれる回線を使用していれば、「第三者からのネットワークの傍受」というものは大幅に軽減できますし、

 

そもそも、電子メールおよびWeb閲覧といった「インターネットをするパソコン」と、「重要データを編集・閲覧するパソコン」とを分けて運用していれば、今回のような事件は防げたはずだと思われます。

 

箇条書きにすると

・一般の光回線とは別に、専用線で年金機構の本庁と全国の窓口とをつなぐ。

・インターネットにつなぐパソコンとは別に、年金データを扱うパソコンを用意する。両方同時にできた方が業務上ラクですが、「感染したと判明したにもかかわらず、ネットにつないだまま業務をしていた」という認識の低さなので、これぐらいの強攻策を取るべき。

(一人に2台与えるのではなく、複数人に1台の追加で充分だと思います)

これらだけで大幅にセキュリティの向上が図れると個人的には思います。

 

昨年のベネッセの場合だと、退会した方が多かったようですが、今回の場合、漏洩したからといって「国民年金から退会する」というわけでにはいきません。

(退会・裁判を起こすことより、情報を売買する業者を廃業に追い込む方が効果的に漏洩を抑止できると個人的に思いますが、根絶は難しいかもしれません。そもそも、ベネッセや年金以外の企業との契約時に自ら情報を記入しているわけで・・・)

 

結局、ハード・ソフトのセキュリティを上げたところで「使う人間に認識の甘さや悪意」があるとデータの漏洩はありえると思います。

ですから漏洩することを前提とした運用を構築し、漏洩したら「LANケーブルを外してPCをネットから分離する」「原因がわかるまで社内PCのネットは全停止し、業務の連絡はスマホで代用」というぐらいの思い切った策をすぐに実行できる上役の判断力があれば、漏洩件数を抑えることが可能だと思います