先週セキュリティー対策の第一人者であるラックのＣＴＯの西本氏のお話を聞くことができました。そのなかで日本はハッカーなど攻撃側よりもひたすら被害者の管理責任を問うことが多く、ここは問題だという話がありました。年金機構の場合は警察より個人情報が漏れていると指摘があったため公になりましたが、水面下には隠蔽されている多数の情報漏れ問題があるようです。いまハッカーは中国人民軍をはじめ国家のサポートを受けたプロ軍団が国や企業の最高機密を盗もうとしているわけですからセキュリティは破られることを前提に考えなければならないわけです。したがって、被害企業の管理責任を声高に唱えるのは方向が違うわけです。

さて、年金機構の個人情報漏れですがポイントは別に年金機構の基幹システムが破られたわけでなく、職員が個人情報をファイル共有サーバーに保存していてそれがパソコン経由で漏れたようです。基本的に個人情報を共有サーバーにおくことは禁止というルールがあったようですがそれは形骸化したとニュースは伝え、これをもって年金機構の職員のモラルの低下を攻撃しています。確かに個人情報にパスワードをかけていなかったのは大きな落ち度ですが実はこれは２，３の一部のずさんな地域でここから集中的に情報が洩れていました。おおむね他の地域ではパスワードはかかっていたように想像されます。

別に年金機構の職員の肩をもつわけではないですが、基幹システムから個人情報を他に移せないというのは理論的には(大切な個人情報だから）わかりますが、受給者からの質問に答えたりさまざまな書類を送付するのに現実的でなかったのではないでしょうか？よくセキュリティ対策と言って、全く現場を無視したガチガチの体制を作ってしまうことがあります。当然それでは実務が回りませんから現場は何かしらそのルールをかいくぐった方法を考え運用してしまう、これは年金機構に限らずどの組織でも起こりがちです。これを年金機構の職員が腐敗していると糾弾するのは真の問題から目をそらしている気がします。ガチガチのルールだけ作って安心するのではなく、１）現場の運用を著しく阻害しないようバランスのとれたセキュリティルールにする２）守られているかは内部監査等で定期的にチェックする事が必要だと思われます。

要するにこの問題は職員の個人的な問題というよりも、現場感のないルールとそのための現場の不注意な運用が生み出したと思われます。どちらかというと上層部の管理能力と現場感の無さが生み出したのではないかと思うわけです。