日本年金機構の個人情報流出事件で、機構の内部調査委員会は20日、個人情報管理やリスクへの意識が希薄だったことが原因とする調査報告書を公表した。
情報共有不足など旧社会保険庁時代からの「組織風土」が背景にあるとした。新たに機構職員225人の個人情報が流出していた疑いがあることも判明した。
同日、記者会見した水島藤一郎理事長は、後手に回った対応について「組織として議論されなかったことが最大の問題」とし、自らの進退は明言を避けた。
報告書によると、機構は5月8日以降「標的型」と呼ばれるウイルスメール計124通を受信。5人の職員が添付ファイルを開封、計31台が感染した。
全国の情報系システムを一括管理する「認証サーバー」の管理者権限が奪われ、パスワード設定がなければあらゆる保存ファイルの入手が可能な状態だったという。
対処すべき情報セキュリティー対策担当者は、メール受信者から詳細な聞き取りを怠り、担当幹部は担当者任せで「組織として迅速な対応が行われなかった」とした。
標的型ウイルスメール対策のルールが定められていなかった一方、インターネットにつながった共有サーバーの個人情報のパスワード設定が不徹底だった点は「ルールが有名無実化していた」と認めた。
こうした実態の根底には、情報共有不足やガバナンス(統治)の脆弱(ぜいじゃく)さがあると指摘。現場の実態が幹部らに伝わらない、ルールが徹底されないなどの組織風土を、不祥事が相次いだ旧社保庁時代からの「構造的な問題」とし、情報管理を一元的に行う部署などを新設するとした。
厚生労働省の検証委員会も調査を行っており、21日に中間報告を公表する。
http://headlines.yahoo.co.jp/hl?a=20150821-00000069-san-soci
◆不正アクセスによる情報流出事案に関する調査結果報告(PDFファイル)
http://www.nenkin.go.jp/n/data/service/press0820.pdf