旧社保庁体質、改善せず=個人情報125万件、3日間で流出―年金機構が調査報告
旧社保庁体質、改善せず=個人情報125万件、3日間で流出―年金機構が調査報告
時事通信 8月20日(木)15時8分配信
日本年金機構は20日、サイバー攻撃を受け約125万件(約101万人分)に上る年金受給者や加入者の個人情報が今年5月に流出した問題に関する内部調査の報告書を発表した。
情報管理のルールが徹底されなかったことに加え、大量に送られたウイルス入り標的型メールへの対応に多くの問題があり、情報流出を防げなかったと認定。背景には、不祥事が相次いだ前身の社会保険庁時代に問題視された体質が改善されていないことがあると指摘した。
報告書は、ガバナンス(組織統治)の弱さや職員間の意思疎通不足など、機構の体質的な問題を挙げた。組織風土を抜本的に見直すため機構内に「再生本部」を新設する方針を示した。今回の問題をめぐる水島藤一郎理事長ら関係者の処分は、厚生労働省の第三者委員会の検証結果を踏まえ判断するとしている。
水島氏は記者会見で「国民の皆さまに多大なご迷惑をお掛けし心からおわびする」と謝罪。自らの進退については「この事案の処理をきちんと行った上で検討したい」と述べるにとどめた。
報告書によると、ウイルスに感染したパソコン端末計31台を調べた結果、情報流出は5月21日から23日までの3日間で起きたことが判明。5月8日から20日にかけて機構の端末が計124通の標的型メールを受信し、職員5人が添付されたファイルを開封していた。20日に届いたメールの添付ファイルを職員が開いたことがきっかけとなり、複数の端末にウイルス感染が拡大。21~23日にサーバーから個人情報が抜き取られた。
しかし、機構は当時、受信者にファイル開封の有無を十分確認せず、対応を担当者任せにしたため、ウイルス感染の把握が遅れ、結果的に大量の個人情報流出を招いた。新たに機構職員225人の氏名などの情報が漏れた可能性もあることが分かったが、125万件以外の年金情報の流出は確認されなかった。
報告書はまた、インターネットにつながったサーバー内に個人情報を保管して業務することが常態化していたことについて、「リスク認識に欠けていた」と指摘。125万件のうち55万件はルールで定められたパスワードの設定がないなど、「ルール自体の有名無実化」を認めた。
http://headlines.yahoo.co.jp/hl?a=20150820-00000075-jij-pol
年金情報流出まで13日間対応怠る PC感染で調査報告
朝日新聞デジタル 8月21日(金)0時8分配信
日本年金機構は20日、約125万件(約101万人分)の個人情報が流出した問題の内部調査報告書を公表した。最初のサイバー攻撃から情報が流出し始めるまでの13日間に、適切な対応をしていれば流出を防げたと分析。対応不備の要因は、前身の旧社会保険庁時代から残る機構の体質が根底にあると指摘した。
内部調査では、職員ら約200人への聞き取りやサーバーなどのデータを分析した。報告書によると、ウイルスを仕込んだ「標的型メール攻撃」が5月8~20日にあり、届いた計124通のうち5通の添付ファイルなどが開かれてパソコン31台が感染。個人情報は5月21~23日に漏れた。
この間、被害を防ぐ重要な機会が6回あったとし、特に5月20日の対応を流出の「決定的な要因」と問題視。不審メール3通を受信してサイバー攻撃に対応するシステム統括部に連絡が入ったにもかかわらず、担当者は添付ファイルを開いたか必要な聞き取りをその日のうちに行わなかった。
http://headlines.yahoo.co.jp/hl?a=20150821-00000003-asahi-sci
時事通信 8月20日(木)15時8分配信
日本年金機構は20日、サイバー攻撃を受け約125万件(約101万人分)に上る年金受給者や加入者の個人情報が今年5月に流出した問題に関する内部調査の報告書を発表した。
情報管理のルールが徹底されなかったことに加え、大量に送られたウイルス入り標的型メールへの対応に多くの問題があり、情報流出を防げなかったと認定。背景には、不祥事が相次いだ前身の社会保険庁時代に問題視された体質が改善されていないことがあると指摘した。
報告書は、ガバナンス(組織統治)の弱さや職員間の意思疎通不足など、機構の体質的な問題を挙げた。組織風土を抜本的に見直すため機構内に「再生本部」を新設する方針を示した。今回の問題をめぐる水島藤一郎理事長ら関係者の処分は、厚生労働省の第三者委員会の検証結果を踏まえ判断するとしている。
水島氏は記者会見で「国民の皆さまに多大なご迷惑をお掛けし心からおわびする」と謝罪。自らの進退については「この事案の処理をきちんと行った上で検討したい」と述べるにとどめた。
報告書によると、ウイルスに感染したパソコン端末計31台を調べた結果、情報流出は5月21日から23日までの3日間で起きたことが判明。5月8日から20日にかけて機構の端末が計124通の標的型メールを受信し、職員5人が添付されたファイルを開封していた。20日に届いたメールの添付ファイルを職員が開いたことがきっかけとなり、複数の端末にウイルス感染が拡大。21~23日にサーバーから個人情報が抜き取られた。
しかし、機構は当時、受信者にファイル開封の有無を十分確認せず、対応を担当者任せにしたため、ウイルス感染の把握が遅れ、結果的に大量の個人情報流出を招いた。新たに機構職員225人の氏名などの情報が漏れた可能性もあることが分かったが、125万件以外の年金情報の流出は確認されなかった。
報告書はまた、インターネットにつながったサーバー内に個人情報を保管して業務することが常態化していたことについて、「リスク認識に欠けていた」と指摘。125万件のうち55万件はルールで定められたパスワードの設定がないなど、「ルール自体の有名無実化」を認めた。
http://headlines.yahoo.co.jp/hl?a=20150820-00000075-jij-pol
年金情報流出まで13日間対応怠る PC感染で調査報告
朝日新聞デジタル 8月21日(金)0時8分配信
日本年金機構は20日、約125万件(約101万人分)の個人情報が流出した問題の内部調査報告書を公表した。最初のサイバー攻撃から情報が流出し始めるまでの13日間に、適切な対応をしていれば流出を防げたと分析。対応不備の要因は、前身の旧社会保険庁時代から残る機構の体質が根底にあると指摘した。
内部調査では、職員ら約200人への聞き取りやサーバーなどのデータを分析した。報告書によると、ウイルスを仕込んだ「標的型メール攻撃」が5月8~20日にあり、届いた計124通のうち5通の添付ファイルなどが開かれてパソコン31台が感染。個人情報は5月21~23日に漏れた。
この間、被害を防ぐ重要な機会が6回あったとし、特に5月20日の対応を流出の「決定的な要因」と問題視。不審メール3通を受信してサイバー攻撃に対応するシステム統括部に連絡が入ったにもかかわらず、担当者は添付ファイルを開いたか必要な聞き取りをその日のうちに行わなかった。
http://headlines.yahoo.co.jp/hl?a=20150821-00000003-asahi-sci