叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

日本年金機構とサイバーセキュリティ基本法

日本年金機構」からの個人情報流出

「標的型メール攻撃」が広く知られるようになったのは、2015年に「日本年金機構」が引き起こした125万件の個人情報流出事件だと思います。
r.nikkei.com
特殊法人」という公的な組織から、基礎年金番号、氏名、生年月日、住所等の年金を支える重要な個人情報が、マルウエアで感染した「日本年金機構」のパソコンから流出しました。世間的に大きな注目を集めました。

日本年金機構」を巡っては「標的型メール攻撃」から遡ること8年、日本の年金制度を揺るがす大事件がおきました。年金記録の消失・・・2007年の流行語大賞のトップテンに入った消えた年金問題です。1997年の「基礎年金番号制度」の導入により、それまで複数の年金番号が存在していたのを統合しました。これが年金記録を消失するきっかけとなったのです。年金記録が残っていないということは、その人の将来の年金支給額を決めることができなくなるという大問題です。

この事件により「日本年金機構」に対して「安心できない」印象が国民にあったなかで「標的型メール攻撃」による個人情報流出事件が起きたのです。

「標的型メール攻撃」は2015年以前も存在していました。しかし、この年に大きく件数が増え、以降増加を辿るようになりました。

f:id:slowtrain2013:20200416230331p:plain標的型メール攻撃の件数の推移
「平成30年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)」より

サイバーセキュリティ基本法の施工

そして「日本年金機構」の個人情報流出事件と同じ年の2015年1月、「サイバーセキュリティ基本法が施工されました。この基本法の第二条にて「サイバーセキュリティ」の定義は次のように定められています。

第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
「サイバーセキュリティ基本法」より

サイバーセキュリティ基本法のキーワードは「安全性の確保」です。サイバー攻撃は年々高度化し、世界的な規模で問題になっています。サイバー攻撃を受けた組織は悪影響が出るのはもちろんのことですが、それ以上に国家の安全保障上、重要な情報が流出したり、重要な社会インフラが停止したりと、国民生活の安全を脅かすような攻撃も想定されるようになりました。

「安全性」に対する脅威・・・それは、個人、組織、国家が攻撃者により解剖され「死」への恐怖を与えることです。

奇しくも2015年の「今年の漢字」は「安」でした。情報セキュリティを含め、国民全体が「安全」を意識するターニングポイントとなった年だったんだと思います。

f:id:slowtrain2013:20200417000538p:plain
2015年「今年の漢字
そして5年の歳月がたった2020年、わたしたちの生活は、IoTに監視され、AIに判断され、RPAに実行されるのはもうすぐそこです。わたしたちは安心してこの「安全性」を見守ることができるでしょうか!?