FC2ブログ
情報管理ルールの遵守
- 2015/06/04(Thu) -
日本年金機構が管理している、年金関連の個人情報が大量に流出して、大問題になっています。

業務メールに似せた偽メールに、ウイルスが添付されていたといいますが、その手口など今回は二の次です。
まず、業務メールを受け取るようなパソコンが、なぜ年金情報のサーバーに接続できたのか。それが問題。

これまでの報道を総合すると、年金機構のコンピュータには、3段階あるようです。
(1)基幹システム:年金情報のすべてを格納しているサーバー
(2)共有サーバー:基幹システムから抽出した個人情報データを格納して、業務用に使っていたサーバー
(3)職員用の端末:共有サーバーにも、インターネットにも接続可能なパソコン

機構は、(1)の個人情報を(2)に格納することを原則禁止していたといいますが、守られていません。
例外的に格納する場合には、パスワードをかけるキマリでしたが、これも完全には守られていませんでした。
これらはたしかに問題ですが、円滑な業務のために、ルール違反は黙認され、管理はルーズになりがちです。

職員は往々にして、楽をしようとズルをします。どうせ守られないルールなら、作らない方がマシです。

それよりも、職員のパソコンが、サーバーとネットの両方に繋がる点が、もっと大問題でしょう。
おかげでハッカーは、職員のパソコンにウイルスを仕掛け、サーバーのデータを易々と盗めたわけですから。
共有サーバーにつながりうるパソコンは、インターネットから物理的に切り離しておくべきでした。

たとえ職員がルールを守らない場合でも、情報が外には漏れないようなシステムにする必要があるわけです。
残念ながら、重要な局面では、人を信じないことです。

関連記事
この記事のURL | 社会問題 | CM(0) | ▲ top
<<梅雨入り | メイン | インフルワクチン4価へ>>
コメント

コメントの投稿















管理者にだけ表示を許可する


▲ top
| メイン |