年金機構の情報流出を見てちょっと思ったこと

いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。

いつものごとく時間がないので、雑感を駄文で。

年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。 詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。

さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。

非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。

この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株式会社LACの西本氏がしばしば言っているのは、「ベネッセの件は誰が事件化したのか?これを事件化したのは他ならぬベネッセである。ベネッセが、調査をし、ベネッセが犯人を特定し、ベネッセが漏洩した情報を特定し、その結果、犯人の告発を実施したから事件が表面化した。」ということ。つまり、組織として、仕組みとしてみれば、ベネッセはそこまで徹底したシステムを作り、あとから追えるところまで管理を徹底していたということ。これは、組織としていうなら素晴らしい事であって、ここまでやっている組織があった事に驚いた。しかも、その結果を告発だけじゃなく報告書として公開している。

個人的な感情(僕はベネッセは嫌いである)を完全に除外するなら、このベネッセの件、僕はむしろ「褒める」べきだと思う。犯人が責められるのは当然である。しかし、ベネッセは(結果として)加害者になってしまったが、被害者でもある。それを監督責任というのは簡単だが、そこまでの監督なんて誰もやっていないと思っていたら、ここまでやっている会社があったわけだ。むしろ見本として、非常に良い会社だろうと思う。

翻って年金機構。

本音でいうと、年金機構がベネッセ並みの管理、運用、調査、報告ができるとは思えない。そしてできるようになるとも思えない。事件前からの(正規・非正規を問わず)職員のモラル(2chに書き込みとかありえないでしょ)や事件「発生」後の対応、事件「発覚」後の対応を見ていると、本音で、こんな組織にお金や情報を管理させるなんて金をドブに捨てているも同然。これは、こんな組織を監督している監督官庁も同罪。

本件、あまりにもお粗末である。お粗末ではあるが、国内の絶対的多数の組織は、民間・官庁・政府組織を問わず、この程度の事件がいつ起きてもおかしくない状態だろう。今回は、それが年金情報というエグい情報だっただけ。それ以外に大きな差はない。今回感染した職員(おそらくは正職員ではないのだろうけど)は、迂闊だとは思うが、「それが可能な状態ある事の方が問題であって、詰まる所は、システムとデータの管理責任の問題」という自明な事がおそらくはわかってないんだろう。個人的には、そんな連中が個人識別番号(要はマイナンバー)だの言っているのを見ていると、臍で茶が沸く。

年金機構は、詰まる所、この種の事故を引き起こした時にやらなければならない事を考えず、その場しのぎを続けているようにしか見えない。国民は時間が経てば忘れてくれるから。

さて、ここでよく「自分が所属している組織」を考えてみてほしい。自分が所属している組織はベネッセ型だろうか?それとも年金機構型だろうか?

統計をとったわけでもましてちゃんと調査したわけでもないが、個人的な感覚でいうなら、日本国内の絶対的多数の組織が年金機構型である。つまり、事前の検討も、そのための対策も、発生してしまった場合の対応も、おそらくその全てが年金機構型であろう。そして、この個人的感覚が正しいならば、今回のような事件は何度でも起こるだろう。起こるべくして。単に年金情報がマイナンバーに変わるだけ。オプトアウトした個人情報になるだけ。場合によっては、許可を得ていない個人情報かもしれないし、営業機密かもしれないし、それこそなんでも。

NHKニュースによれば、藤沢市が標的型メール対策に関する抜き打ち訓練を実施したらしい。藤沢市 標的型メールの抜き打ち訓練

この標的型メール攻撃に関する予防接種、BBSecの時代、LACの時代に、同僚とやっていた。その時に、我々が口を酸っぱくして言っていたのが、

  • 訓練なのだから、開いたことを責めるような雰囲気を作ってはいけません。
  • メールがおかしい事に気づけるようになる事は現実的に無理です。それでも事前に気づければ大きいから、そのポイントは強調しています。
  • 開いた時の対処が本当の問題です。ちゃんと正しいところに報告できるか、正しい対処を取れたか、を注視してください。正しい対処が取れるようになる事が訓練の本当の意味です。
  • できれば、一般社員だけでなく、社長も含めた経営層にも実施してください。
  • くれぐれも、「訓練でメールを開いてしまった事を人事評価などに反映させるような事はしない」でください

ということだった。

訓練の結果、隠すようになるなら、そんな訓練は無駄。むしろ訓練しないほうがマシ。そうではなく、もう事故前提で考えるべきであって、訓練も、「絶対引っかかる」訓練メールにして、引っかからないやつは「メールを見てない」と結論付けられるようにするのがいいんじゃないかと思うし、「引っかかった時の対処」に主眼を置くべきで、そういう風に進化するべきじゃないかとほんとうに思う。

駄文でした。

2015/06/04 追記

本文中に、「このベネッセの件、僕はむしろ「褒める」べきだと思う。」と記載した。
この「褒めるべき」というのは、大変に残念ながら、僕が言い出したことではない。
ご本人に迷惑がかかるかもしれないので特にお名前は出さないが、大変に共感したし、その通りだと思ったので、私もしばしば利用させていただいている。
今後も利用させていただきます。