年金情報の流出と情報管理
2015/06/10   コンプライアンス, 情報セキュリティ, 民法・商法, その他

年金情報の流出が６月１日に発覚した。それに伴い、日本年金機構職員の名をかたった、振り込め詐欺の事件が相次いで報告されている。この年金情報は、基礎年金番号、生年月日、氏名といった、情報が記載されている。これらの情報は、それ自体ではプライバシーの核心を構成する情報ではない。しかし、SNSなどの発達した現代においては、例えば名前や生年月日などの情報を組み合わせれば特定個人についての交友関係や連絡先まで分かってしまうという危険性がある。また、仮にこの情報が犯罪者集団に流出すると、振り込め詐欺等の犯罪被害が拡大する恐れがある。
　ところで、事前にリスク管理体制を整えて情報流出を防ぐことはできなかったのか。この点を、リスク管理の問題である内部統制システムについての判断を示した最判平成２１年７月９日判決（以下、本件判決）の観点から考えてみたい。
　一般に、株式会社において、いわゆる内部統制システムの設置が望まれている（大会社などでは設置が義務付けられている。会社法362条5項）。日本年金機構は株式会社ではなく、また、本件判決の文脈で論じられた損害賠償等の問題には発展していないものの、リスク管理についての基本的な考え方は同様に妥当するといえよう。
　この内部統制システムの内容としては、①適切なリスク管理体制を整備することと②各人が、設定されたリスク管理体制の中で、分業により与えられた自己の役割を果たすというものがある。この内部統制システムについて、どの程度の水準のシステムを作ることが要求されるか、その設定につき団体にどれほどの裁量が認められるか、そもそも裁量がないのではないか、という考え方の違いはある。しかし、ひとつ確実であることは、予見することが不可能である事件の発生についてまで想定した内部統制システムの構築は要求されていないし、内部統制システムの構成員にとっても、予見不可能な事件に対して自己の役割を超えた働きが求められるわけではないということである。
　今回起きた日本年金機構における事件では、４月中旬という事件発覚前において、ホームページの書籍注文フォームに大量の不自然なデータが届いたことが確認されている。これに気づいた担当者は一時的にホームページを閉鎖するという対応策を取った。しかし、その後は閉鎖を解いた。この大量の不自然なメールは、企業年金連合会になりすましたものであった。
　また、５月８日九州ブロック本部でウイルスメールの開封によるパソコンのウイルス感染が確認されている。しかし、その時点では当該パソコンの接続を遮断したのみであり他のパソコンは接続したままであった。職員への注意喚起はなされたが、具体的な不審メールのタイトルは示されなかった。
　さらに、日本年金機構がサイバー攻撃を認識した以降、すべてのパソコン端末のネット接続を遮断したあとも、職員の電子メールは使える状態であった。つまり、問題発覚後もネット接続の遮断は完全にはなされていない対応であった。
以上の経緯からして、ウイルス感染やサイバー攻撃など、本格的な問題までが発覚した以上、リスク管理体制に危険が存在することが具体的に予見されていたといえる。つまり、リスク管理体制の見直しは強く要求されていた。以上から、本件ではリスク管理体制に問題があったといえよう。
　未だ事態は進行中であり、今後新たな問題点も発生してくると考えられる。早急な事件解決につなげるべく、管理体制の再検討を視野に入れた対応が求められると思われる。