発表によると、日本年金機構は何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けた。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものとしている。
本来は、情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためだという。
「日本年金機構の情報漏えい事件から得られる教訓」では、情報を守るために切り離された2つのネットワークの使いにくさが、逆にセキュリティの弱さにつながったとして、この事件から取るべき行動を次のようにまとめているという。
- 事件・事故前提の組織体制構築
- 社員や職員の意識改革と教育
- 事故対応チームの組織化
- セキュリティ監視と不正通信の洗い出し
- 事件発生を見越した演習
