www.nikkei.com

日本年金機構さんは、私の職業柄いつもお世話になっております。

今回の件は非常に残念ですが、マスコミ、ネットからボロクソに叩かれてますね。まあこの手の事件というのは、ネット社会になってからはなくなることはありませんね。

日本年金機構はダメな組織なのか？

個人的にでは有りますが、職員さんは非常に優秀であると思っています。ミスというミスを見たのは、新米担当者の1件のみ見たことがあって、その他は見たことありません。いやー、よくやってると思いますよ。

ですがこういう不祥事って、何千人といるスタッフの中のごく一部がやらかしても、組織自体がボロクソに叩かれるんですね。まあそれが大きい組織の宿命なのでしょうが。自分はセーフティーだと思っている貴方、次は貴方の番かもしれませんよ。

原因はヒューマンエラー

この手の事件の共通点は、殆どの場合がヒューマンエラー、つまり単純ミスによるものである。今回の場合は、職員が怪しげな添付ファイルを開いたことが原因という、セキュリティ担当者も真っ青な事件です。これではいかに高性能なウイルスソフトやセキュリティを講じていたとしても、完璧に防ぐのは非常に困難でしょう。ミスをした職員は二度とこういうことはしないでしょう。（職員の処分を検討しているという報道があるが、そんなもん全く意味が無い）しかし、入れ替わりの激しい日本年金機構の職員であれば、今後こういう事件が再発しないことは無いでしょう。

結論を言えば、結局情報流出は避けられないということです。

マイナンバー制度について 

これが今回の最大の問題でしょう。

今回の場合は、年金の情報だけで済みましたが、マイナンバー情報であればそうはいきません。年金の情報はおろか、所得、資産状況などのすべての情報がもれるということになります。

どれだけセキュリティを強化しても、最後はヒューマンエラーで流出するので、あんまり意味がありません。マイナンバー制度を導入すること＝自分の資産状況が公開される　くらいの認識を持つくらいがちょうどいいでしょう。

対策は・・・

先ず大前提として、どのようにセキュリティを強化しても100%安全にはならないということは認識したい。ちょうどいいタイミングでアメリカではIRSの情報流出がありましたね。また、故意に持ち出す職員もいるかもしれません。クレジット情報を盗んで逮捕される職員、いましたね過去に。

そうすると、対策としては「セキュリティ対策」と「漏れても被害が極力少ない」状態を並立して作ることでしょう。外部の端末では情報を読み取ることができないような仕組みのようなものでしょうか。所詮対策をしてもいたちごっこだということです。

故意犯にも注意

最後に故意犯にも注意してもらいたいです。何らかの悪質な意図を持った人間が、外部に情報を売ったりしないための対策です。これはマネジメントの分野でもあるでしょう。

組織に恨みを持たれることのないよう、パワハラ・セクハラを排除すること、また職員を常日頃から信頼することなど。

素人ながらに書きましたが、ヒューマンエラーに関しては通常業務で私も非常に意識をしていることですので、提言させていただきました。