日本年金機構は6月1日、不正アクセスによって約125万件の個人情報が流出したと発表した。なお、年金加入者情報が主に保管されている基幹システム(社会保険オンラインシステム)については不正アクセスが確認されていないものの「精査中」(リリースより)としている。

機構によると、流出した情報は主に3つのくくりに分けられる。最も流出件数が多かったグループは「基礎年金番号」と「氏名」「生年月日」の3情報がセットで流出したもので、約116万7000件が流出している。

流出した情報 流出件数 基礎年金番号・氏名・生年月日 約116万7000件 基礎年金番号・氏名・生年月日・住所 約5万2000件 基礎年金番号・氏名 約3万1000件

リリースによると、同機構が流出を把握したのは5月28日で、ウイルスが添付されたメールを職員が開いたことによる不正アクセスが原因。職員のPCにデータが保存されており、これが流出したとしている。一部報道では、5月8日にウイルスの感染を確認しており、18日まで不正な通信が行われていたことも確認している。

機構は現在、ウイルスに感染したPCをネットワークから切断した上で、契約しているウイルス対策ソフト提供ベンダーに解析を依頼。検知したウイルスは除去しているという。また、外部への情報流出防止の観点から、全拠点でネットへの接続を遮断しているとしている。

今回、情報が流出した年金加入者については、システムから確認できる体制を構築し、なんらかの手続きが行われた場合には、本人であることを確認した上で手続きを進めるとしている。また、個別に連絡を行い、基礎年金番号についても変更する。

今後は、再発防止策として、情報セキュリティ対策の強化と、外部有識者も含めた原因調査と再発防止のための委員会を設置するとしている。

日本年金機構のプレスリリース

特定の企業、組織を狙った標的型攻撃については、情報処理推進機構(IPA)が5月28日に注意喚起を行ったばかり。2014年度は標的型攻撃と思われる詐欺メールの送信元が日本となるケースが最多になるなど、「日本企業・組織を狙った攻撃インフラが着々と築かれつつある」(IPA)としていた。