さて、引き続き「2018年のセキュリティ事件ランキング」です。

前記事はこちら。マカフィーさんが発表した本家のランキングも掲載してます。
https://newspicks.com/news/3534364

第2位ですが、これは昨年僕が「2018年のサイバーセキュリティ予測」でも触れたことにかかわってきます。

第2位：日本年金機構の外部委託先が、勝手に再委託していた
この記事憶えていますか？日本年金機構は僕らの年金に関する運営を担っている特殊法人（＝NHKやJRAなどと一緒）です。かつて、サイバー攻撃によって情報漏洩事故を起こしたことでも知られています。
で、年金機構は事務作業を外部の企業に委託しているのですが、契約で禁止していた再委託を委託先企業が行っていたという問題。再委託というのは委託先がさらに別の企業に業務を委託することです。1次委託先・2次委託先等と言い分けることもあります。しかもその2次委託先に中国企業もいたって話で、僕らの年金に関する記録が国外に持ち出されていたかもという話なのです。

※この記事は下の事件を見る前に書いたのですが、まるっきり同じような話がまた起きましたね。なんやねんこのタイムリー感。

で、通常1次委託先に対しては委託元からの厳しい業務チェックが行われることが多いのですが、2次委託先に対しては委託元との直接の契約が無いんですね。なので委託元は契約を盾にして直接2次委託先に立ち入り検査したり、質問票への回答を義務化したりは出来ません。よって、通常は1次委託先との契約条項の中で、再委託を行う場合は①再委託先の管理責任は1次委託先にあること②再委託先にも1次委託先と同等の義務を課すこと　などを明記することが一般的です。

さて、ここで問題。年金機構は「契約で再委託を禁止していた」ということは、再委託先に関する①②のような条項は、契約書の中に無かったはずなんですよね。これがマズイ。もちろん1次委託先も何かしらの義務を2次に課していたとは思いますが、そこら辺の統制は1次任せになってしまっていたわけです。というかそもそも再委託を認めてもいないし。

ところで知ってますか？この委託先、委託されていたデータ入力業務に間違いも多かったそうなんですが、問題の中国企業の方が入力品質が高かったらしいですｗだいたい、国内の企業なら安心って考えが間違ってます。国内企業でも悪さをする社員はいるだろうし、ミスしてデータ漏洩する人も、マルウェアに感染してしまうこともあります。

じゃあどうして契約に禁止されているにもかかわらず再委託をしたのかというと、要するにデータ入力業務と言うのは、人数かけてやるしかない労働集約型の仕事なんですよね。OCRの読み取り精度もまだまだ十分とは言えず、人が見て打ち込む仕事は多いのです。日本の労働人口が減っているということなんでしょうね。ましてPCを使う仕事です。大臣ですらPC使えないのにそれが出来る人は多くないのかもしれませんねｗ

そして、顧客（＝国民）にとっては委託先が起こした問題だろうが何だろうが「年金機構が悪い」わけなので、委託元は委託先の管理統制をしっかりやらなきゃいけないのは今に始まった話でもなく当然のことです。が、委託先起因のセキュリティ事故が目立つことから、国は「サイバーセキュリティ経営ガイドライン」を昨年末に改定し、ビジネスパートナー・委託先等を含めたサプライチェーン全体の対策と状況把握を行うことが経営者の責任であると明示しました。いま、委託先のセキュリティは最重要課題の１つと認識されているわけです。

しかし委託先となる企業は、大手ばかりでなく中小零細も多いです。しかし、そんな企業でも委託元である大企業と同じレベルのセキュリティが求められるようになっているというのが、今の最新のセキュリティの状況なのです。ある意味、中小零細の方が対策は大変です。人もカネも無いのに、人もカネもある大企業のセキュリティを求められるのですから。どんな業務を受託するか、再考が必要になっているともいえるでしょう。求められるセキュリティ対策を実施できないから、手を出してはいけない案件が増えるんです。

といったところで本日は終わりです。まだ続きます。