年金情報流出問題で日本年金機構と厚生労働省の報告書が相次いで公表された。一読して驚かされたのは、当事者能力のお粗末さだ。
政府もさすがに無理はできないと思ったのか、10月から国民に通知が始まるマイナンバー(社会保障と税の共通番号)と基礎年金番号の連結は、当初予定の2016年1月から最大で1年5か月延長する方針を決めた。
政府はせいぜい半年から1年程度の延期を目論んでいるようだが、それで大丈夫か。機構の報告書によれば、内閣サイバーセキュリティセンター(NISC)が不審なメールを検知したのは5月8日だった。機構は通報を受けた後、同じメールの受信拒否すら設定していない。
NISCが不審な通信検知を通報しても、機構のネット遮断は一部にとどまり、すべてを遮断したのは5月29日になってからだ。その間に約125万件の情報が流出した。
普段から機構は個人情報の取り扱いがいい加減だった。ファイルにパスワードをかける手順さえきちんと守られず、不審事が起きた時の対応ルールも定めていなかった。
監督官庁である厚労省のお粗末さも負けず劣らずだ。機構に不審メールが届く前に厚労省に不審メールがあったのに、厚労省はネットワークの一部しか遮断せず、機構に通報もしなかった。
同省で情報セキュリティを担うのは情報政策担当参事官室だったが、実質的な担当者はわずか1人。ローテーション人事で来ただけで専門知識もないうえ「マイナンバー制度の施行等多岐にわたる業務を抱えていた」という。
