ラックは6月9日、「日本年金機構の情報漏えい事件から得られる教訓」を公開した。

2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、同社が知り得た範囲で整理し、教訓とすべきことを提言した。

日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けた。攻撃手法は標的型サイバー攻撃と見られている。本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためだったため、情報を守るために切り離された２つのネットワークの使いにくさが、逆にセキュリティの弱さにつながったとしている。

この事件から得られる教訓として、利用者が取るべき行動は

○事件・事故前提の組織体制構築
○社員や職員の意識改革と教育
○事故対応チームの組織化
○セキュリティ監視と不正通信の洗い出し
○事件発生を見越した演習

と考え、同資料にまとめた。資料はWebサイト（pdf）から無償で閲覧できる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース
資料（pdf）