年金情報流出

年金情報流出まで 13 日間対応怠る　PC 感染で調査報告

日本年金機構は 20 日、約 125 万件（約 101 万人分）の個人情報が流出した問題の内部調査報告書を公表した。　最初のサイバー攻撃から情報が流出し始めるまでの 13 日間に、適切な対応をしていれば流出を防げたと分析。　対応不備の要因は、前身の旧社会保険庁時代から残る機構の体質が根底にあると指摘した。

内部調査では、職員ら約 200 人への聞き取りやサーバーなどのデータを分析した。　報告書によると、ウイルスを仕込んだ「標的型メール攻撃」が 5 月 8 - 20 日にあり、届いた計 124 通のうち 5 通の添付ファイルなどが開かれてパソコン 31 台が感染。　個人情報は 5 月 21 - 23 日に漏れた。　この間、被害を防ぐ重要な機会が 6 回あったとし、特に 5 月 20 日の対応を流出の「決定的な要因」と問題視。　不審メール 3 通を受信してサイバー攻撃に対応するシステム統括部に連絡が入ったにもかかわらず、担当者は添付ファイルを開いたか必要な聞き取りをその日のうちに行わなかった。 (久永隆一、asahi = 8-21-15)

年金情報流出の誤回答、入力ミス原因　機構の対応準備時

日本年金機構が、個人情報が流出した 2,449 人に「していない」と誤った説明をしていた問題で、機構は 13 日、システムへの基礎年金番号の入力ミスが原因だと発表した。　入力ミスは約 10 万件に上るという。　個人情報は約 101 万人分が流出した。　機構は問い合わせに対し、パソコンに基礎年金番号を入力すると画面に警告が表示されるシステムをつくって、6 月 2 日から使い始めた。

ところが、情報が流出した該当者の基礎年金番号を準備する段階で、リスト漏れが約 5 万 4 千件、違う番号を入れたケースが約 4 万 6 千件あったという。　計 8 万 6 千人余りの情報で、このミスで 2,426 人への誤説明につながった。　残る 23 人については、警告表示が出たのに間違った説明をしたという。　13 日に記者会見した水島藤一郎理事長によると、6 月 13 日に誤った説明があったことを把握し、翌 14 日に入力データを修正したという。　今回の誤説明について、機構が正式に公表するのは初めて。　水島氏は「早急に公表すべき事案だった。　認識に誤りがあった。」と陳謝した。 (久永隆一、asahi = 7-14-15)

年金機構、虚偽報告か　情報管理の調査に「すべて適正」

日本年金機構の個人情報流出問題で、個人情報の管理をめぐる内規の調査に対し、虚偽報告があった可能性が出ている。　流出した 949 ファイルのうち内規で定められたパスワードが設定されていたのは 1% 未満だったが、内部調査ではすべて「適正」と報告されていた。　機構は個人情報を保存するファイルに対し、① パスワードかアクセス制限をかける、② 必要な作業が終われば速やかに消去する - - という内規を定め、2013 年 10 月以降、全国 395 部署に徹底を指示。　各部署の責任者が点検して本部に年 2 回報告するが、今年 4 月までの 4 回はすべて適正と報告していた。

また、機構が設けた専用電話窓口への問い合わせに対し、実際には流出した情報の該当者なのに「流出していない」と誤った回答をしていたケースが複数あったことも明らかになった。　機構によると、専用電話窓口では基礎年金番号で流出の該当者かどうか判別できるシステムをつくり、問い合わせに対応。　先月 1 日の設置から今月 5 日までに、52 万 7 千件余りの問い合わせがあった。

だが、機構が 6 月中旬、該当者に謝罪文を発送する作業で電話窓口での対応内容の記録と照合したところ、誤った回答をしたケースが判明。　原因は不明という。　機構はミスを公表せず、同月下旬に誤った説明をした人たちを戸別訪問して謝罪した。　訪問件数は「精査中」としている。　複数の厚生労働省幹部は 6 日、このミスを「知らなかった」と話しており、流出問題で指摘された双方の情報共有の不備も改めて生じている。 (久永隆一、asahi = 7-7-15)

◇

年金情報、2,449 人に「流出なし」と誤回答　電話窓口

日本年金機構の個人情報流出問題で、機構が設けた専用電話窓口への問い合わせに対し、実際には情報が流出した該当者なのに「流出していない」と誤った回答をしていた人が 2,449 人に上ることが 7 日、わかった。　関係者が明らかにした。　機構によると、専用電話窓口では基礎年金番号で流出の該当者かどうか判断できるシステムをつくり、問い合わせに対応してきた。　だが、機構が 6 月中旬、該当者に謝罪文を発送する作業で電話窓口での対応内容の記録と照合した結果、誤った回答をしたケースがあったことが判明した。 (asahi = 7-7-15)

年金情報、流出は 101 万人　月内に謝罪文書を発送

日本年金機構がサイバー攻撃を受けて約 125 万件の個人情報が流出した問題で、機構は 22 日、情報が漏れた該当者は計 101 万 4,653 人で、47 都道府県すべてにいたと発表した。　機構は同日から、3 種類と 2 種類の情報が漏れた該当者への謝罪文書の発送を始めた。月内に終えるという。　機構によると、情報流出の該当者は受給者が 52 万 8,795 人で、加入者が 48 万 5,858 人。　都道府県別では大阪府が 9 万 6,884 人で最も多く、東京都の 9 万 6,172 人、神奈川県の 7 万 3,826 人が続いた。

流出した情報は、基礎年金番号、氏名、生年月日、住所の 4 種類。　約 116 万 7 千件としていた住所をのぞく 3 情報は、96 万 8,981 人分が流出し、大阪府（9 万 6,406 人）が最多だった。　さらに生年月日をのぞく 2 情報は約 3 万 1 千件で 3 万 370 人分が流出し、和歌山県（1 万 4,064 人）が最多。　すでに確定していた全 4 情報については、約 5 万 2 千件で 1 万 5,302 人分が漏れ、沖縄県（6,813 人）が最も多かったことを公表した。

機構は 4 情報の該当者には今月 3、4 日に謝罪文書を発送。　2 情報と 3 情報の該当者には 22 日から発送を始めたが、文書にはどちらに該当するか明記しておらず、専用電話窓口に問い合わせてもシステム上、判断できないという。　文書には住所を含めて 4 情報が漏れたと読める表現があるが、機構の担当者は 22 日、修正はしないとした。

機構は該当者に謝罪文書を郵送するため、流出情報の重複や死亡者を除く作業を進めてきた。　関係者によると、今月中旬に 50 万人を超えることが確認され、さらに作業を進めて最終的な人数を確定したという。　一方、機構は一時停止していたホームページを 22 日午後 1 時に再開した。 (asahi = 6-22-15)

年金情報、流出該当者 50 万人超す　全員に謝罪文書

日本年金機構がサイバー攻撃を受けて個人情報約 125 万件が流出した問題で、情報流出の該当者は 50 万人を超えることが 13 日、関係者への取材でわかった。　人数ベースでも大量の情報が流出したことになる。　機構は該当者全員に謝罪文書を送る方針だ。　流出した個人情報は基礎年金番号、氏名、生年月日、住所の 4 種類。　4 種類すべてが含まれるのは約 5 万 2 千件、住所を除く 3 情報が約 116 万 7 千件、さらに生年月日を除く 2 情報が約 3 万 1 千件だった。

この計約 125 万件の情報から、機構は亡くなった人や重複しているものを除く作業を進めている。　4 情報すべて流出した該当者は約 1 万 5 千人で確定。　さらに残る情報を精査した結果、3 情報と 2 情報が流出した該当者は 50 万人を超えたという。

4 情報が漏れた受給者と加入者にはすでに謝罪文書を送り、残る 50 万人超に対しても今月中に発送を終えたい考えだ。　流出した情報は、沖縄、和歌山の両事務センターと東京の記録突合センターの 3 カ所で使われていた。　4 情報すべてが流出した該当者は 42 都道府県におり、沖縄県が最多の 6,813 人、福岡県（5,836 人）や栃木県（2,204 人）も多かった。 (asahi = 6-14-15)

年金 4 情報、42 都道府県に流出該当者　最多は沖縄

日本年金機構がサイバー攻撃を受けて流出した個人情報のうち、基礎年金番号、氏名、生年月日、住所の 4 情報すべてが流出した約 1 万 5 千人の都道府県別の所在地がわかった。　いずれも沖縄事務センターで使われていた情報で、沖縄県が最多の 6,813 人。　福岡県（5,836 人）や栃木県（2,204 人）も多い。　厚生労働省と機構がまとめた。

該当者のうち年金受給者は福岡県が 3,749 人で最も多く、沖縄県の 3,527 人、栃木県の 1,643 人と続く。　一方、青森、岩手、秋田、鳥取、徳島の 5 県には該当者がいない。　4 情報の流出が確認された人には、機構が 4 日までに謝罪文書を発送。　月内には情報流出が確認された全員に文書を送り終えるとしている。 (久永隆一、asahi = 6-12-15)

年金機構のホームページ閲覧できず　不正対策で改修中

日本年金機構のホームページが 6 日午後 3 時 40 分から閉鎖され、閲覧できない状態が 7 日の午前中も続いている。　不正アクセスに弱い部分が見つかり、改善作業をしているためだ。　機構は当初、6 日中の復旧を目指していたが、作業が長引いているという。

ホームページには、約 125 万件の年金の個人情報が流出した問題をめぐり、年金受給者や加入者の問い合わせにこたえる専用の電話窓口の番号 (0120・818211) や、全国の年金事務所の連絡先が掲載されていた。　広報担当者は「できるだけ早く復旧させたい」としている。　機構によると、ホームページは外部業者のサーバーを利用しており、受給者や加入者の個人情報を保存する基幹システムへの影響はないとしている。 (asahi = 6-7-15)

年金情報、流出は東京・和歌山など 3 センター分

日本年金機構の個人情報約 125 万件が流出した問題で、外部に出たのは、同機構の「記録突合センター（東京）」のほか、和歌山や沖縄の事務センターで使われた情報だったことが 5 日、関係者への取材で分かった。　年金記録を確認するための文書などで、約 950 個のファイルで保存されていた。　関係者によると、流出したのは記録突合センターで使っていた情報約 50 万件、沖縄事務センターが約 74 万件、和歌山事務センターが約 1 万件。

記録突合センターは、保険料の納付や年金の支払い状況について、コンピューターで管理している情報と紙資料の記録を照合するための組織。　同機構の前身・社会保険庁時代に問題化した、保険料を支払ったのに記録が残っていない「消えた年金」を含め、年金記録の確認業務を行っていた。 (yomiuri = 6-5-15)

年金機構、4 情報以外の流出否定　謝罪文書を発送へ

日本年金機構がサイバー攻撃を受けて約 125 万件の個人情報が流出した問題で、機構の水島藤一郎理事長は 3 日、これまで判明している 4 情報とは別の情報が流出した可能性について「それ以外はない」と否定した。　一方、流出件数が増える可能性は「捜査によってはある」と述べた。　同日朝に開かれた民主党の会合で明らかにした。

機構はこれまで、流出したのは基礎年金番号、氏名、生年月日、住所の 4 情報と説明している。　水島氏は、このすべてが流出した約 5 万 2 千件のうち年金受給者に対し、謝罪文書を 3 日中に発送することを表明。　残る受給者や加入者に対しては、今月中に発送する考えを示した。　ただ、発送予定の文書に「大変ご不便をおかけしますが、改めてご連絡申し上げますので、お待ち下さい」と記載されていることから、出席した議員が「あの手紙にありました連絡です」と詐欺に悪用される危険性を指摘。　厚生労働省の樽見英樹年金管理審議官は機構側から電話しないことを徹底するとした。 (asahi = 6-3-15)

年金情報流出、攻撃に 2 種の新ウイルス使われる

日本年金機構の個人情報流出問題で、同機構へのサイバー攻撃には少なくとも 2 種類の新種ウイルスが使われていたことが 2 日、機構幹部への取材でわかった。　最初のウイルスが見つかった後、同機構はすぐに対策を講じたが、別のウイルスに再び感染していた。　同機構幹部によると、職員のパソコンにはもともとウイルスを検知するソフトが入っていたが、5 月 8 日に九州ブロック本部（福岡市）でウイルスメールを開封した際は、検知されなかった。　その後、政府の専門機関から異常を指摘され、専門会社に解析を依頼したところ、新種のウイルスが見つかった。

同機構は、このウイルスを検知・駆除できるよう、すぐにパソコンのソフトを更新。　だが、数日後に機構本部（東京都杉並区）に届いたメールに添付された別の新しいウイルスを検知することはできなかった。　ウイルスに感染したパソコンは、この 2 台だけでなく、数十台に上るとみられる。　セキュリティー会社が解析を進めているが、2 台に感染した新種のウイルスのほかにも、ソフトが検知できない新たなウイルスが見つかる可能性もあるという。 (yomiuri = 6-3-15)

日本年金機構、ファイル共有サーバーを5年以上前から運用

ルール上は「個人情報の格納は原則禁止」

日本年金機構から 125 万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。　年金記録などを格納する基幹システム（社会保険オンラインシステム）から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた。　サーバー上に個人情報を置くことは原則禁止していたという。

同機構のシステム統括部によれば、少なくとも 2010 年 1 月の機構発足時には、基幹システム（社会保険オンラインシステム）から抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。　フォルダは階層構造であり、上位から、全国、ブロック、県、拠点といった順だった。　今回、「あるフォルダとその配下のサブフォルダとファイルが盗まれた。（システム統括部）」　サーバーには「エクセル」や「アクセス」のファイルが格納されていた。

ルール上、個人情報をファイル共有サーバーに格納することは原則禁止という。　格納する際は、アクセス制限をかけたりファイルに「人に推測されにくいパスワード（同）」を設定。　さらにどんなファイルを格納したかを一覧にして総務部に報告することを課していたという。　ただしパスワードの設定は職員に任せており、格納のたびに第三者が確認することはなかったようだ。　今回漏れた 125 万件のうち、約 55 万件はパスワードが設定されていなかった。

基幹システムから個人情報を抽出するには、権限のある職員による申請が必要だった。　抽出データは暗号化された上で CD-ROM に格納されて職員に渡されていたという。　同機構は回答を控えたが、職員がパソコンで CD-ROM の内容を複合し、ファイル共有サーバーに移していたと見られる。　ファイル共有サーバーをどういった業務で使っていたのか。　機構は具体的な業務名の回答を控えたものの、一例として、「全国レベルではなく、拠点レベルでお客様に電話したり通知したりするためのリストを作る業務に使っていた」と話す。

一般に基幹システムのデータを現場が簡単に編集する目的で、エクセルや CSV で現場向けデータを作成・提供することは決して珍しくない。　ただ、パスワードの設定を職員任せにしてチェックが行き届かない運用であったことと、ネットがつながるパソコンで個人情報のサーバーにもアクセスできるネットワーク設計だったことが重なり、今回の流出を招いた。 (井上英明、ITpro = 6-2-15)

年金の個人情報 125 万件が流出　不正アクセス

日本年金機構は 1 日、基礎年金番号や氏名など同機構が保有している個人情報が流出した、と発表した。　流出件数は現時点で約 125 万件に上るとみられるという。　職員の端末に届いた電子メールにウイルスが入ったファイルが添付されており、これを開いたところ不正アクセスされて情報が漏れたという。 (asahi = 6-1-15)