日本年金機構の個人情報流出の責任は問えるのか?

この記事が良ければ、ぜひシェアお願いします

ツッコミどころ満載の重大事件が発生しましたね。日本年金機構の個人情報大量125万件の流出事件です。内容を知れば知るほど呆れて口がどんどん開いていくほど、今回の事件はひどいことが分かります。

年金機構によると、基礎年金番号と氏名、生年月日の流出が約116万7000件▽基礎年金番号、氏名、生年月日、住所の流出が約5万2000件▽基礎年金番号と氏名の流出が約3万1000件。年金機構は先月19日に警視庁に捜査を依頼した。

年金機構によると、5月8日と18日に不正アクセスを確認。19日に警視庁に捜査を依頼し、28日に情報が流出していることが判明したという。

引用元 : 日本年金機構:個人情報125万件流出 ウイルスメールで | 毎日新聞

5月8日に発生(確認)して、結局28日に判明?ウィルス感染なんて確認できたら、速攻で解析するのが当たり前です。社内保守はどこのITベンダーを使っているのでしょうか?それとも、情報システム部相当のところはスクランブル脳を発動せずに、のんびり通常営業していたのでしょうか?

ちなみに、どこのITベンダーが社内システム/ネットワークの運用保守をしているのかは公表されていないので分かりません。ただ、理事に元日本ユニシスの方がいらっしゃるので、その辺ちょっと可能性があるかなとは思います。日本ユニシスは社会保険系のシステムやってますしね。

年金機構設立当時の入札企業に出て来る名前で、大手システムベンダーとして聞き覚えがあるのは、日本ユニシス、アイネット、トランス・コスモス、日本IBMといったところ。

日本ユニシスは財務系基幹システムを得意とする企業で、厚生年金のシステムも手掛けていて、年金業務のシェアを大きく握っている。

引用元 : 年金機構そのものはなぜかほとんど責められていない

ウィルスの影響だけでなく、不正な通信が発生してないかの確認も併せてできるでしょう。個人情報が入ったファイルは、テキストデータかもしれませんが、125万件もあればそれなりに容量があるはずです。そんな大きなデータが外に出ていくのであれば、通信ログ取ってれば出口で分かりますし、IPSが入っていれば自動で検知できるはずです。

それに、28日に判明してるんなら、翌日の29日には発表しましょうよ!!

土日はお休み~とか考えてないですよね、まさか。ウィルス添付のメールを開いてしまうほどの職員のITリテラシーの低さもひどいけど、そんなメールを受信できちゃう仕組みなのも脆弱だし(普通は不審なメールはフィルタ掛けるでしょう)、ウィルス感染しちゃったって2chに書き込んだ(らしい)職員のモラルもひどいし、その後の対応もずさんだし、ツッコミどころがありすぎて書ききれません。苦笑

そういう目に見える細かいところは、著名な方々やメディアが書いてくれると思うので、自分は気になった点に絞って書いてみたいと思います。

ちなみに今回の事故の概要は、このサイトの方がよくまとめられています
日本年金機構の情報漏えいについてまとめてみた | piyolog

スポンサーリンク

特殊法人に対して個人情報漏洩の罰は問えるのか?

企業が個人情報漏洩を起こせば、企業の信頼失墜し、賠償責任を負い、お詫びの品を送り、信頼失墜からの顧客減少・売上げ減少が起きます。消費者やB2Bであれば顧客企業が、その企業との取引を止めるという罰を受け、中の人も懲戒処分や減給の罰を受けます。

ただ、独立行政法人や今回の日本年金機構のような特殊法人の場合は、どういう責任の取り方をしてもらえるのでしょうか?信頼失墜したって、年金は国民の義務なんだから日本年金機構を利用しないことはありえないし、賠償責任をもしするにしたって、結局何か支払われたとしても税金や年金が財源なんだから意味がない。(まぁそんなお詫びのしるしみたいなものは絶対いらない、ありえないですけど)。さらに国民からの対応にコールセンター用意したりして余計なお金使われるわけです。

テレビで言ってましたが、2日で10万件近くの電話問い合わせがあったのだとか。

オペレータが6分で1件の問い合わせをさばくとして、1時間で10件の対応。ってことで、1万時間掛かる訳で、オペレータの時給が仮に東京都の最低賃金の888円だとしたら(絶対こんな安くないけど)、2日で888万円も電話対応に費やしたという計算になる。

んーちょっと電話対応の価格としては安すぎますね。1万時間だとしたら、1日12時間半稼働なので、2日で400人必要だから、やっぱりアウトソーシングしないとさばけない量ですよね。すると、コールセンター事業主の利益も乗ってくるので、時給1000円換算に3割掛けの利益で、1300万円くらいのコストが妥当でしょうか。(ざっくりした計算なんで、目安として捉えて頂ければ)

もし、もし万が一、職員でさばいたとしても、約1000万円分の工数は使ったことになっちゃうので、相当な無駄使いをしたことになりますね。ちゃんとこういうのも発表してほしいですよね。事態が収束したら、きちんとした場で対応コストがいくら掛かったか報告をしてくれることを期待しています。

独立行政法人等の個人情報保護に関する法律は?

こんな事故を起こして、さらに国民の税金を無駄使いしてしまっているわけですから、本来であればお金を払っている私たちが責任を追及できないとおかしいと思うんですよ。まぁ百歩譲って(譲らなくても)それは政治家の方にお願いするとして、そもそも法律ではどうなってるのか?と。

独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号)では、こうなっています。

第六章 罰則

第五十条  次に掲げる者が、正当な理由がないのに、個人の秘密に属する事項が記録された第二条第四項第一号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、二年以下の懲役又は百万円以下の罰金に処する。
一  独立行政法人等の役員若しくは職員又はこれらの職にあった者
二  第七条第二項の受託業務に従事している者又は従事していた者

第五十一条  前条各号に掲げる者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

第五十二条  独立行政法人等の役員又は職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、一年以下の懲役又は五十万円以下の罰金に処する。

第五十三条  前三条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

第五十四条  偽りその他不正の手段により、開示決定に基づく保有個人情報の開示を受けた者は、十万円以下の過料に処する。

引用元 : 独立行政法人等の保有する個人情報の保護に関する法律

うーん、過失による個人情報漏洩に関する罰則は特にないようですね。でも、故意ではないにしろ、お粗末な対応をしたことでこの事件が起きたのは、過失と呼ぶにはちょっと。。。

職員が知らなかったら、事故が起きてしまいましたでは言い訳としては苦しいですよね。こんな分かりやすいウィルス感染してる時点で、充分な責任は取ってもらわないといけないと思うのですが。起こるべくして起こったずさんな事件、と言えるでしょう。

おっと、面白いページを見つけました。

Q. 個人情報の漏えいが心配ですが。

委託している民間事業者は、各省庁の入札に参加するための「全省庁統一資格」を保有しているほか、個人情報の取扱いに関してのプライバシーマーク、または情報セキュリティ・マネジメント・システムであるISO27001:2005/JISQ27001:2006に適合していることを条件としております。
その上で、「日本年金機構法」により、日本年金機構職員と同様に民間事業者にも秘密保持義務や罰則などが適用され、目的外使用や漏えい等を厳格に禁じています。

引用元 : 個人情報の漏えいが心配ですが。 | 日本年金機構

このQAで心配をされている方の通りの事故が起こってしまいましたね。しかも回答の内容が、なーんかずれているのが気になります。

委託してる民間事業者とかの話じゃなくて、個人情報の管理主体は「日本年金機構」でしょう!職員ゼロならこの回答でもいいですよが、職員いるわけでしょ?内部統制どうなってるの?情報セキュリティ対策はどうなってるの?その辺の回答ができないと、信用なんてできませんよ。委託業者が云々なんて聞きたい訳ではないのです。

他人に厳しく自分に甘いんでしょうか。実態は知りませんが、職員は指示出してるだけで実業務は民間事業者がやってるから、こんな回答が出て来てしまうのですかね。言葉の節々から色々なことが見え隠れしている気がします。

結論

法律からは今回に掛かるような罰則は見つかりませんでした。あとは、日本年金機構の役員の方々や重要なポストに居る方々が、きちんと責任を取るのか。その上の厚生労働省がどんな処罰を下すのか。(というか、厚労省も責任取るべきでは。)それらを追求する政治家の方々が、どんな議論を交わしてどんな結論を出すのか。これらを見守るしか、当面はなさそうです。

それでもずさんな対応をするのであれば、国民が立ち上がるしかないのかもしれません。自浄作用を期待できないなら、国民が監視しして改善させなければいけません。じゃあどうすればいいのか、その辺は追って書きたいと思います。

当面はこの対応をどうするのか、生暖かく見守りましょう。

スポンサーリンク

この記事が良ければ、ぜひシェアお願いします

もぐ
年齢 : 30代半ばの1児の新米パパ。ITネットワークから始まり、WEBディレクター、WEBシステム系のプロマネ、データ分析など色々やってるエンジニアです。WordPress、Webサービス構築、BIツール、IoTなどがトレンド。新しくて面白い仕事募集中。
スポンサーリンク