日本年金機構のデータが中国企業に渡った
2018年3月、日本年金機構のデータ入力業務を請け負った会社が業務を中国企業に「再委託」していたことが明るみになりました。マスメディアが報じない、この事件の本質的な問題点を指摘します。
総合セキュリティソフトの比較事件の概要
本題に入る前に、まずは事件の概要を簡単に説明します。
日本年金機構は2017年8月、一般競争入札で個人情報データの入力業務を株式会社SAY企画(東京都豊島区)に委託しました。
この業務は重要な個人情報を扱う業務であるため、委託を受けた会社(SAY企画)が自ら処理しなくてはならない契約であったにも関わらず、中国の企業に再委託されていたことが発覚しました。
- 氏名
- 配偶者の所得
- マイナンバー
など500万人分の個人情報がSAY企画にわたり、その内で中国企業にわたったものは扶養親族等申告書に記載された氏名データだったと発表されています。
この事件の本質的な問題点
この事件の重大な本質的な問題はどこにあるのか指摘します。
委託先が「中国」企業である
最大の問題点は委託先が中国企業である点です。
2015年に発生した日本年金機構へのサイバー攻撃によって125万件の個人情報が流出した事件では、中国政府が関与するハッカー集団による攻撃であることが指摘されています。
日本国内でも6月に日本年金機構への攻撃で125万件の個人情報が流出したことが明らかになったのは記憶に新しいが、それ以外にも公的機関への攻撃が相次いでいる。日本年金機構の事件に関する報告書によると、国家レベルの組織が海を渡って攻撃してきていることを指摘しており、今や「戦争」といえるレベルにまで達している。
引用元: サイバー「戦争」時代 ついに国家間の懸案事項に(日本経済新聞)
手の込んだウイルス「エムディビ」を使いこなす攻撃者とは、誰なのか。複数の関係者に取材した結果、中国系の攻撃組織が関与した可能性が浮上した。 (中略)
中国は長年、米国を標的にしたサイバー攻撃作戦を実行してきた。引用元: 一連のサイバー攻撃に新証拠 中国系組織が関与か (日本経済新聞)
また、同じく2015年に発生した米国連邦人事管理局から政府職員400万人分の個人情報が流出した事件でも、米国政府関係者が中国政府の関与を指摘する発言をしています。
米人事管理局は23日、7月に発覚したサイバー攻撃で連邦政府職員ら約2150万人の個人情報を盗んだハッカーが、同時に最大約560万人分の指紋の情報も盗んでいたと発表した。米政府は中国が攻撃に関与しているとみている
引用元: 米政府へのサイバー攻撃、指紋560万人分も盗難 (日本経済新聞)
目的は定かではありませんが、中国政府は日本や米国の市民の個人情報を収集している可能性が大いにあります。
そのような背景がある中での中国への「流出」は、安全保障上の問題にも発展する恐れがあり、それがこの事件の最大の問題点です。
大量の個人情報流出は何で起きるの?犯人の目的は発覚するも年金機構が放置した
加えて問題なのは、日本年金機構がこの件を1月6日に把握していながら、2月13日までSAY企画への委託を続けていた点です。
「ほかの業者を探したが見つからなかった」(年金機構 水島理事長)との理由から、重大なセキュリティリスクを放置していたことは到底許されるものではありません。
2015年のサイバー攻撃による個人情報流出事件でも、日本年金機構の情報管理体制の不備が多数指摘されています。この組織に個人情報を扱う資格はありません。
