日本年金機構から125万件の年金情報が漏洩した根本的な問題は・・・

日本年金機構から125万件の年金情報が漏洩した問題で、大騒ぎとなっていますが、TVではあまり報道されないていない、共有サーバー（職員間でデータを共有するための外部NASっぽい）の運用方法に根本的な誤りがあります。
基幹システムに格納された年金情報は、職員からの申請によって暗号化したCD-ROMに焼かれ、職員の手に渡るようになっています。業務に必要ならこういう運用もありでしょう。職員は入手したデータを自分のPCで複合し、CSV形式、EXCEL、ACCESS(MDB)に加工して利用します。＜守られていなかった内規＞・使用済みの年金情報は廃棄しなければならない。・共有サーバーには年金情報を含んだファイルを原則アップしてはならない。・どうしてもアップする場合はアクセス制限やパスワードを掛ける。・アップしたファイル一覧を総務部に報告する。すべて個人の努力目標にとどまり、内部統制がありません。いわゆる「ザル」です。ザルで運用されているサーバーにアクセスされたのですから、ひとたまりもありません。
ニュースを見ているとメールの添付ファイルを開いてしまったことが最大のミスのように報じられていますが、標的型メールの場合は、抜き打ちのセキュリティチェックや業務通達文書を偽装していますので、誤って添付ファイルを開いてしまう確率は高く、個人のうっかりミスでは済まされません。そもそも、メールウィルスはインバウンドチェックのアンチウィルスソフトで防ぎきれる物ではありませんし、日本年金機構の職員のメールアドレスが相手に渡った経緯の方が気になったりします。それよりも共有サーバーから外部に向けてデータが抜き取られることを監視するアウトバウンドチェックが掛けられていなかったことが大きな問題で、おそらく警視庁はアウトバウンドチェックを掛けてデータ流出を突き止めたのではないかと思われます。年金機構がすぐにやらなければならないことは、内部統制機能の導入、第三者による不正アクセス監視の導入ですが、今回の125万件が流出したデータのすべてなのか、第三者によるチェックが入らないと信用できません。なにしろ、ザル運用が長年続いていたのですから・・・日本年金機構HP：http://www.nenkin.go.jp/n/www/index.html
http://www.e-nekorakuen.net/wp-content/uploads/d3diary/00a77d80ff02e62aa9461d728b03607a45.jpg