日本年金機構 個人情報流出事件と内部統制構築義務
岩田合同法律事務所
弁護士 深 沢 篤 嗣
1
平成27年5月に発生した、日本年金機構(以下「機構」という。)における個人情報流出事件(以下「本件流出事件」という。)は、単に特殊法人における一事件として等閑視することはできない。株式会社における内部統制システム構築義務にも重要な影響を及ぼすものとして理解すべきである。
同事件に関し、近時、3通の報告書等が公表された。
すなわち、
- ・ 機構が設置した「不正アクセスによる情報流出事案に関する調査委員会」による同年8月20日付調査結果報告書
- ・ サイバーセキュリティ戦略本部による同日付原因究明調査結果
- ・ 独立した第三者からなる「日本機構における不正アクセスによる情報流出事案検証委員会」による同月21日付検証報告書(以下「検証報告書」という。)
である。
本稿では、これら報告書等の内容を踏まえ、本件流出事件の事実経過を概説し、検証報告書の指摘事項を紹介した上で、株式会社の内部統制(リスク管理体制)について言及する。
2
本件流出事件の概要は、以下のとおりである(なお、日付は全て平成27年5月を指す。)。
|
① |
8日 |
機構の公開メールアドレスに対し、不審メールⅠ(別表参照。以下同じ。)が送信される。受信した職員の一人がメール本文に記載されていた外部URLをクリックしたことで、不正プログラムがダウンロードされ、外部との不正な通信が発生。 当該不正な通信は、機構が、端末を特定してネットワーク切断するまでの約4時間にわたって継続し、その間に大量の外部通信が行われる。 なお、後のフォレンジック調査の結果、この間に機構職員のメールアドレスが外部に漏えいされ、下記②の不審メールⅡの送信に用いられた可能性が高いとされている。 ネットワーク管理者は、上記URLのドメインをブロック。 |
|
② |
18日 午前 |
機構職員101名のメールアドレスに対し、不審メールⅡ101通が送信される。これにより3台の端末が感染したが、不正な通信は上記のブロック処置により防がれる。 機構は、送信元メールアドレスをブロック。 |
|
③ |
18日 午後 |
別のメールアドレスからの不審メールⅢ19通が送信される。 機構は、同メールアドレスをブロック。 |
|
④ |
19日 午後 |
更に別のメールアドレスから不審メール同Ⅲ1通が送信される。 なお、不審メールⅢによる端末の感染は確認されていない。 |
|
⑤ |
20日 |
機構の公開メールアドレスに対し、不審メールⅣ5通が送信される。これを受信した職員の1人がメールを開封し添付ファイルを開いたことで、その使用端末が不正プログラムに感染し、当該端末を起点として、さらに少なくとも2拠点にわたる26端末に感染が拡大。 |
|
⑥ |
20日 |
合計27台の端末から多数の不正な通信が行われ、約125万件の個人情報等が外部に流出。 |
|
⑦ |
29日 |
機構全体につき、厚労省ネットワークを経由したインターネット接続の遮断を実施。 |
| 不審メールの番号 | 受信日 | 不審メールの概要 |
| 不審メールⅠ | 5月8日(金) |
件名:「厚生年金基金制度の見直しについて(試案)に関する意見書」 宛先:公開メールアドレス リンク:商用オンラインストレージ |
| 不審メールⅡ | 5月18日(月) |
件名:給付研究委員会オープンセミナーのご案内 宛先:非公開の個人メールアドレス 添付ファイル:給付研究委員会オープンセミナーのご案内.lzh |
| 不審メールⅢ |
5月18日(月) ~ 5月19日(火) |
件名:厚生年金徴収関係研修資料 宛先:非公開の個人メールアドレス 添付ファイル:厚生年金徴収関係研修資料(150331厚生年金徴収支援G).lzh リンク:商用オンラインストレージ |
| 不審メールⅣ | 5月20日(水) |
件名:【医療費通知】 宛先:公開メールアドレス 添付ファイル:医療費通知のお知らせ.lzh |
3
不審メールⅠの受信(上記①)から、個人情報の流出(上記⑥)までには、12日間以上あり、その間に機構及び厚労省が取った対策としては、URLのドメインブロックや不審メールのメールアドレスのブロックなど、個別的な処置にとどまっている。
検証報告書は、遅くとも、上記③の段階では、100通を超える大量のメール攻撃を受けたことや、機構が送信元メールアドレスをブロックする都度、送信元メールアドレスを変えて不審メールを送信するなどの執拗な攻撃態様から、機構を狙った本格的な攻撃であるとの認識を持ち、インターネットの全面遮断に踏み切るべきであったと指摘している。
現実に、全面遮断が行われたのは29日(上記⑦)になってからであるが、検証報告書は、このような対応の遅れを招いた根本的原因として、
- ア 緊急事態に対応すべきCSIRT[1]が、機構において組織されていなかったこと
- イ 機構、システム運用委託会社、厚労省間での情報の共有に欠け、組織が一体として危機に対処していないために、インターネット全面遮断との意見がいずれからも出ず、なすべき決断ができなかったこと
を挙げている。
4
本件は、日本年金機構という特殊法人で発生した事案であるが、顧客等の個人情報や機密情報を保有する企業等は、同様に、本件のようなサイバー攻撃の対象となるリスクを常に負っているといえる。最近でも、東京商工会議所や早稲田大学などがサイバー攻撃を受けて個人情報が流失するなど、こうした事例は枚挙にいとまがない。したがって一般の株式会社においてもサイバー攻撃に対し十分な備えをしておくことは必須と考えられ、法的な観点では、サイバー攻撃を受けた場合のリスク管理体制の構築は、取締役の善管注意義務の一内容となっていると評価できる。構築すべき具体的な内部統制システムは、検証報告書で指摘されている社内にCSIRTを設置することや、インターネット全面遮断という意思決定を迅速に行うための体制整備も含めて、各社において検討することが必要である。
[1] Computer Security Incident Response Team:セキュリティインシデントに対応するための組織。平時はインシデント情報等の収集・分析とそれに基づく対応方針・手順の策定にあたり、インシデント発生時には緊急対応を担う(検証報告書22頁より)。