年金機構の個人情報流出

nenkinkikoryushutsu.jpg 日本年金機構で個人情報125万件が流出したと伝えられていた。
ネットでは、管理の手落ちを責める意見はもちろん、こんなことでマイナンバー制度は大丈夫かという意見が多くみられる。

機構の説明では、基幹システムへの不正アクセスはないようで、職員の端末から漏れたというから、個人情報をそうした職員端末に保存(たまたまあったという一時的なものかもしれないが)していたという状況のようだ。

それにしては量が多い。Excelで処理するような量ではなさそう。
端末にダウンロードするときはパスワード保護することになっていたそうだが、不便で使えないものになっていたのかもしれない。
cloudfoggerのようなものではなかったのだろうか。

基幹システムのセキュリティをいくら高めても、データのコピーが持てるような運用をしていたら、そちらから漏れてしまうということだろう。

で、ネットでも心配する声が上がるマイナンバーだけど、およそ給与を払っているような事業者は従業員のマイナンバーを収集・管理し、税や年金・保険の当局へ提供することになるが、同じように基幹システムがしっかりしていても、従業員のマイナンバーが書かれた書類とかは人の眼に触れる形、結構、アバウトに取り扱われるのではないだろうか。

法では、特定個人情報取扱者には、特定個人情報ファイルを漏洩したら4年以下の懲役または200万円以下の罰金(併科あり)、 知り得たマイナンバーを不正な利益を図る目的で提供・盗用したら3年以下の懲役または150万円以下の罰金(併科あり)と厳しい罰則が定められているけれど、管理不行届きだったらどうなるんだろう。


私はマイナンバー自体は、名前と同じものであって、流通させても何の問題もないと思っている。問題はそれとセットになる個人情報の漏洩である。たしかにあらゆる情報にマイナンバーが紐付けられたら、名寄せが簡単になるわけだが、そもそも名寄せをすることが制度の目的であるから、名寄せを否定してもしかたがないわけで、それぞれの機関が持つ個人情報のアクセスを厳格にすることが基本でなければならない。

今回の年金機構の情報流出事件での報道発表で気になることが書いてあった。
今回の流出の対象となったお客様についてシステム上確認できる体制を確立し、該当するお 客様から年金の手続きがあった際にはご、本人であることを確認した上で手続きを行います。
おいおい、そもそも本人確認せずにやろうとしてたのか?
思えば、私が年金の手続きをしたとき、本人確認は職場が行うことで、機構が行うことではなかったと思う。職場を通さない手続きは、本人あて郵送照会への回答は本人であろうと推測するというものだったのではないだろうか。
形式的には、基礎年金番号と名前などが矛盾していなければ本人からの手続きと認定しているだろう。

これ自体は悪いことではない。情報の信憑性は複数の情報内容から判断するほうが良いに決まっている。

重要なことは、本人確認という行為を対象化して考察し、その意味・意義を自覚し、効用とリスク―固いだけのセキュリティで人間が使いにくいと結局人間がセキュリティホールになる―を評価する、さらに、事務に応じたレベルのセキュリティ対策(本人確認が不要なものもある)を行っていくべきだと思う。


また、こんなことも書かれていた。
該当するお客様には、基礎年金番号を変更させていただき、万全の対処を期す方針です。
こんなこと言ってよいのだろうか?
マイナンバーは変更できない番号だが、漏洩したら変更できることになっている。
今回の事件が、同様の番号変更として前例になったら自治体の事務はもたないかもしれない。

今年10月からはじまる番号通知だが、この通知カードが不着や紛失の場合、漏洩のおそれのある状態となるんだったら、いきなり大量の番号変更が発生してしまうおそれがある。


ある人の番号は誰でも知っている、だから、本人確認はきちんとやりましょう、というのが健全な制度設計だと私は思う。名乗っただけでは相手を信用しないのと同じことだ。
番号を隠さなければならないと考えるのでなく、番号は流通してしまうということを前提として制度設計をすべきだったのではないか。(無理に隠そうとするから犯罪者を作るような法律になり、システムが高価になるのでは。)

もっとも、そういう制度だから、従業員のマイナンバーを預かるサービスが成り立つわけだけれど。


ところで、事件が起こったのは28日、公表されたのは1日だが、報道によると、2chにウィルス感染のことや機構内が大慌てである様子などが28日から随時書きこまれていたという。職員教育も心配だ。


【追記】
こんなことにも気づいた。気にいらない番号が付けられたら、番号通知カードを捨てて、役所には通知カードが見当たらない、私のマイナンバーが人に知られてしまったかもしれないので、番号を変えてほしい、と申し出る。

関連記事
スポンサーサイト

コメントの投稿

非公開コメント

Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

リンク
現在の閲覧者数
聞いたもん