日本年金機構がウイルスメールによるサイバー攻撃を受け、年金情報約125万件が外部に流出した。

 漏れたのは、年金記録を管理するために一人一人に割り当てられている基礎年金番号や氏名などの個人情報である。本人に成り済まして、年金をだまし取る被害が出る恐れは否定できない。

 機構は、情報が流出した年金受給者らに通知文書を送り、番号の変更手続きなどを進めるとしている。受給者らが被害に遭わないよう、対策を徹底しなければならない。

 警視庁は不正指令電磁的記録供用などの疑いを視野に、捜査を始めた。誰が何の目的で不正アクセスしたのか、事件の全容解明に全力を挙げてもらいたい。

 機構は、公的年金の保険料徴収や給付実務を担っている。大切な情報を大量に流出させた責任は重い。二度と起きないよう、再発防止策を急ぐ必要がある。

 機構によると、ウイルスが組み込まれた電子メールの添付ファイルを職員が誤って開き、機構内のネットワークが不正にアクセスされた。感染したのは職員が使っている機構の端末で、先月8日に感染が分かったという。

 その後、28日に警視庁から情報流出を知らされるまで、機構は対策を講じなかった。被害の拡大を防ぐためには、初動が重要なのは言うまでもない。20日間も手を打たなかったのは認識が甘過ぎる。

 流出した情報のうち55万件は、内規が定めるパスワードが未設定だった。組織管理が不十分な証左だろう。

 職員に送られたメールは十数件あり、ウイルスは新種のものだった。

 こうした手口は「標的型メール」と呼ばれ、近年急速に増えている。警察庁によると、昨年は企業を狙った攻撃だけで1723件確認され、前年の3・5倍に上った。

 出版社の取材依頼を装ったり、「健康保険組合からの通知」など違和感を覚えにくい文面にしたりと、手口が巧妙化している。機構に送られたメールの件名も、厚生労働省が公表している年金関係の文書の見出しと同じだった。

 だましの技術、方法は高度になっており、標的型メールを対策ソフトで防御するには限界があるとされる。重要情報を扱う担当者は、添付ファイルの安全性をまず十分に点検すべきである。万が一、開いた後でも不審点に気付き、迅速に対応できる力を付けることが求められる。

 今回の情報流出は、国民に個人番号を割り当てるマイナンバー制度に対する不安を一層強くさせるものだ。

 番号制度が既に導入されている米国や韓国では、問題が頻発している。日本で番号や個人情報が漏えいしない保証はあるのだろうか。

 政府は来年1月から運用を始める方針だが、十分な安全対策が取られ、不安が払拭(ふっしょく)されるまで見合わせるべきではないか。