日本年金機構は、旧態依然とした体質を抜本的に改めなければならない。

 機構から年金受給者の個人情報約125万件が流出した問題で、内部調査委員会が報告書を公表した。

 報告書は、流出の原因として、サイバー攻撃対策の具体的なルールなどの備えがなく、情報管理の意識に欠けていたことを挙げた。背景には、不祥事が相次いだ前身の社会保険庁時代の体質があると指摘した。

 機構は情報流出後、組織風土見直しのために再生本部を立ち上げ、人事評価制度も見直している。改革を掛け声で終わらせず、確実に実行して、国民からの信頼回復につなげなければならない。

 報告書で浮き彫りになったのは、初動対応のずさんさである。

 情報流出は、5月初旬に機構職員がメールに添付された不正なファイルを開封したのが始まりだ。

 その後、124通のメール攻撃があったのに、機構はファイル開封の有無を職員に十分確認せず、対応を現場の担当者任せにした。

 このため、端末の管理者権限が攻撃者に奪われ、複数の端末に感染が拡大、大量の情報が流出する結果となった。機構全体でネットから遮断したのは29日だった。

 機構が危機管理の基本を欠いたまま、個人情報を扱っていたことが大量流出を招いたといえよう。

 ネットにつながったサーバー内に、個人情報を保管して業務を行うことが常態化していたのも問題だ。情報流出のリスクより、業務上の利便性を優先する職員の意識には首をかしげる。

 機構は、個人情報をネット接続から完全に切り離すとともに、情報セキュリティー対策の司令塔となる組織の新設を打ち出した。

 情報流出を防ぐ手だてを幾重にも講じるのは当然だ。同時に、ルールや手順を守るよう職員の意識改革を進めてもらいたい。

 旧社保庁は、約5千万件の「宙に浮いた年金記録」の問題などで解体された。その反省に立って発足した機構が、再び個人情報流出という失態を招いたことは重大だ。なぜ、情報管理を軽視する体質を改善できないのか、徹底的に解明する必要があろう。

 厚生労働省にも不適切な対応があった。

 厚労省の検証委員会の報告書によると、“前兆”とみられる手口の攻撃を4月に年金局が受けていたにもかかわらず、機構に伝えていなかった。機構の監督官庁として、適切に注意喚起していなかった責任は重い。再発防止の徹底を求める。

 社会保障などに関する番号を全国民に割り当てるマイナンバー制度が来年1月から始まるが、国の情報管理への懸念は募るばかりである。

 情報流出を二度と起こしてはならない。政府は対策に万全を尽くすべきだ。