5月25日、安倍晋三総理は、「2020年オリンピック・パラリンピック東京大会を成功させるためにも、我が国のサイバー空間における安全の確保、すなわち、サイバーセキュリティーに万全を期す必要がある」と述べた。
オリンピックを控え、我が国の官民組織のサイバーセキュリティ能力の強化は喫緊の課題となっているが、日本年金機構の個人情報漏えい事件などを見ると、はなはだ不安を感じざるを得ない。
日本年金機構の事件について、現時点までに報道されているところを整理すると、3つの問題が確認できる。
第1は、電子メールを使用しているパソコンで、個人情報を用いた業務を行っていること。秘匿性を有する業務を行う場合には、インターネットに接続しないパソコンを使用することは情報漏えい防止の鉄則である。
トップの認識が甘すぎる
第2に、事件発生時の報告の遅さや対応がずさんであること。これは、事件対応能力の組織化が不十分であることを示している。
第3に、内規に違反してパスワードを設定していなかったこと。これは、職員のモラルはもとより、組織の日常業務のPDCA(plan-do-check-act)サイクルが機能していないことを示している。
今回の事件の最大の問題点は、組織のトップをはじめ組織全体の「危機管理」に対する認識の低さにある。
危機管理の要諦は、事件・事故を未然に防止するともにそれが発生していないことを常に確認することである。そして、人間はミスを起こすことを前提にシステムを構築するとともに事件が発生した場合の対策を準備しておかなければならない。
ところで、サイバー空間の脅威は、今回のような不正侵入だけでない。