日本年金機構が管理している、年金関連の個人情報が大量に流出して、大問題になっています。
業務メールに似せた偽メールに、ウイルスが添付されていたといいますが、その手口など今回は二の次です。
まず、業務メールを受け取るようなパソコンが、なぜ年金情報のサーバーに接続できたのか。それが問題。
これまでの報道を総合すると、年金機構のコンピュータには、3段階あるようです。
(1)基幹システム:年金情報のすべてを格納しているサーバー
(2)共有サーバー:基幹システムから抽出した個人情報データを格納して、業務用に使っていたサーバー
(3)職員用の端末:共有サーバーにも、インターネットにも接続可能なパソコン
機構は、(1)の個人情報を(2)に格納することを原則禁止していたといいますが、守られていません。
例外的に格納する場合には、パスワードをかけるキマリでしたが、これも完全には守られていませんでした。
これらはたしかに問題ですが、円滑な業務のために、ルール違反は黙認され、管理はルーズになりがちです。
職員は往々にして、楽をしようとズルをします。どうせ守られないルールなら、作らない方がマシです。
それよりも、職員のパソコンが、サーバーとネットの両方に繋がる点が、もっと大問題でしょう。
おかげでハッカーは、職員のパソコンにウイルスを仕掛け、サーバーのデータを易々と盗めたわけですから。
共有サーバーにつながりうるパソコンは、インターネットから物理的に切り離しておくべきでした。
たとえ職員がルールを守らない場合でも、情報が外には漏れないようなシステムにする必要があるわけです。
残念ながら、重要な局面では、人を信じないことです。