日本年金機構がサイバー攻撃を受けて、125万件の個人情報が流出してしまいました。これを受けて、マイナンバーも情報流出の恐れがあるのではないかという議論が起こっています。

しかし新聞をよく読むと、年金機構のサーバーから情報流出が起こっているわけではない事がわかります。さすがに重要なサーバーには厳重なロックがかかっているか、あるいは外部から完全にシャットアウトされているかのどちらかだと思われます。銀行ATMシステムなどから情報流出がないのと同じくらい、厳重に管理されているのだと思います。

では、なぜ流出してしまったのでしょうか…？情報を流出させてしまった職員はサーバーからパソコンへデータをコピーしてパソコンで業務を行っていたようで、このパソコンからデータが流出してしまったようです。本来なら「パスワードをかける」とか「パソコンにはデータを残さない」といったデータ管理のルールがあったはずなのに、そのルールが守られていないために起こった流出事件であると言えます。

重要なデータなのに、ルールを無視した運用をしていたがために流出が起こってしまっています。これが一人のミスならば「その人が悪い」という事になりますが、各地の事務所の何件ものパソコンから流出しているという事なので年金事務所自体のモラルの問題だと思います。

言い換えると、「システムの問題」ではなく「運用している人の問題」であるという事です。一方で、東京商工会議所のデータ流出は、同じく標的型メールからの情報流出ではありますが、サーバーのデータが流出したという事でより問題は大きいです。さすがに年金機構ほどのサーバー構築はできないのでしょうが、システムとして脆弱な部分があったのではないでしょうか？

マイナンバーについて考えると、政府（税務署や社会保険事務所、年金事務所）などのサーバーは強固なものになると思われますので、そこからの情報流出の可能性は低いでしょう。一方で、企業が従業員のマイナンバーをどのように管理するかが問題となります。例えば、総務部のパソコンにエクセルファイルで置いておいたとすると、標的型メールだけでなくウィルス感染などでも情報流出の恐れが出てきます。これでは管理方法が悪いという事になります。

サーバーなどで運用するとしても、東京商工会議所でも情報流出が起こってしまう前提で考えると、それ以上の性能のサーバー管理ができる企業がどれくらいあるのでしょうか…？中小企業にとっては、全く無理な話です。紙の上での管理だけでパソコンでは処理しない…というアナログな方法であれば、情報流出の恐れは少なくなりますが、やはり現実的ではありません。

パソコン関係者が勧める方法としては、クラウドへの保存があります。素人としては「インターネット上にデータを置くなんて、いつでも情報流出の可能性があるのではないか」と考えてしまいますが、クラウドのサーバーが非常に強固な管理をしてくれるのであれば、手元にデータを置いておくより流出の恐れが少ないかもしれません。年金機構みたいにそのデータを手元に置いておくと何の意味もなくなるので、データの扱いには注意が必要ですが、クラウドサーバーに置いたデータに関してはプロが管理してくれるのですから中小企業にとっては安全な管理と言えます。

今回の年金情報の流出事件を振り返って私の出した結論は、「データは強固なクラウドサーバーで管理する事で安全性が高まる」という事です。もちろん、クラウドサーバーならなんでもOKという事ではなく、管理がしっかりとされているサーバーでないとダメですが…。