日本年金機構がサイバー攻撃を受け、個人情報約125万件が流出したことで、マイナンバー法改正案への影響を懸念する声がある。事件の背景に何があるのだろうか。 報道では、メールで送付された添付ファイルを開いてウイルスに感染し、不正アクセスされたという。正直言ってかなり驚いた。典型的な「標的型メール」にひっかかったこともさることながら、日本年金機構の「全役職員に個人情報保護の意識が浸透・定着したとはいえない」との説明にはもっと驚いた。 全役職員が添付ファイルに正しい対応をすることを期待しているかのようだが、できないことを想定してリスク管理するのが常道だ。個人情報にアクセスできる端末を限定して、それを扱う人の記録を残し、その人たちにしっかり研修すべきだった。 一般組織では、個人情報を扱える端末・担当者は限定されている。年金機構では多くの役職員が個人情報を扱わざるを得ないとしても、扱える端末を限定する