日本年金機構は6月1日、職員の端末に届いた外部からのウイルスメールによる不正アクセスによって、約125万件の個人情報が流出したと発表した。
流出が判明したのは5月28日。流出した情報の内訳は、基礎年金番号と氏名の組み合わせである「二情報」約3万1000件、基礎年金番号、氏名、生年月日で構成する「三情報」が約116万7000件、基礎年金番号、氏名、生年月日、住所を含む「四情報」が5万2000件。
現在のところ、基幹システムである社会保険オンラインシステムへの不正アクセスは確認されていないが、精査中としている。経緯は、ウイルスの入った電子メールの添付ファイルを開封したことにより、不正アクセスが起き、情報が流出したというもの。
日本年金機構は、不正アクセスが発見された時点で、ウイルスに感染したPCを隔離し、契約しているウイルス対策ソフト企業に解析を依頼。検知したウイルスの除去を進めている。警察にも通報し、捜査を依頼しているという。
現状、外部への情報流出を防止するため、全拠点でインターネットへの接続を遮断している。
個人情報が流出した顧客を対象に、「万全の対応をする」とのこと。流出の対象となった顧客について、システム上確認できる体制を確立し、該当する顧客から年金の手続きがあった際は、本人確認をした上で手続きを実施する。6月2日からのこの対応を開始するという。対象顧客には、個別に通知する。その際、基礎年金番号を変更するなどの対処を考えているとのこと。
日本年金機構は、流出した情報を基にした不審な連絡があった場合の専用電話窓口を6月1日に開設した。フリーダイヤルで0120-818211。受付時間は6月14日までの平日と土日の8時30分から21時。その後は、日本年金機構のウェブサイトで知らせる。
日本年金機構は、外部有識者を含めた原因解明調査を実施し、再発防止策を策定するための委員会を設置すると発表している。
基礎年金番号の流出の影響はどのようなものか。システム管理グループの岡田仁志氏はZDNet Japanの取材に「年金の受け取り申請には、窓口で本人確認書類と本人にひもづいた金融機関の通帳や印鑑が必要。漏えいした情報だけで年金を得ることはできない。今回の情報漏えいを理由に、不正に年金が支給された事象は発生していない」とした。本人ではなく、代理人が年金を申請した際も、委任状のほか、代理人の本人確認書類が必要という。
四情報が漏えいした利用者については、上記の本人確認に加え、漏えいした5万2000件の利用者が住所変更などを申請した際に、担当者が確認できるようにシステムを整え、不正な支給がないように管理を徹底すると話している。