5億人のデータが親指の先に:DOGE元職員の内部告発
米社会保障局の機密データベース2つが元DOGE職員によって持ち出されたと内部告発。5億人以上の個人情報が含まれる可能性があり、SSA監察総監が調査中。日本人も無関係ではない。
USBメモリ1本。それだけで、5億人以上のアメリカ人の個人情報が、政府のサーバーから民間企業のオフィスへと移動したとされています。
何が起きたのか
2026年3月、ワシントン・ポスト紙が内部告発に基づく衝撃的な報道を行いました。イーロン・マスク氏が率いる政府効率化省(DOGE)の元ソフトウェアエンジニアが、米国社会保障局(SSA)から2つの極秘データベースを持ち出し、USBドライブに保存したというのです。
その人物は昨年、SSAを退職した後、民間の政府系請負企業に転職。そこで同僚たちに対し、自分が「2つの厳重に制限されたデータベースを所持している」と語り、そのデータを新しい職場で活用するつもりだと述べたと報じられています。
問題の2つのデータベースは「Numident」と「Master Death File」と呼ばれるものです。ワシントン・ポストによれば、これらには生存者・死亡者を合わせて5億人以上の記録が含まれており、社会保障番号、生年月日、出生地、市民権情報、人種・民族、そして両親の名前まで網羅されているとされています。さらにこの元職員は、SSAのシステムへの「神レベル(God-level)」の無制限アクセス権を持っていたとも主張していたといいます。
SSAの監察総監室(内部告発の調査機関であり、トランプ政権から独立した機関)がこの件を調査中です。一方、現在もDOGEの管理下にあるSSAの広報担当者は疑惑を全面否定し、ワシントン・ポストの報道を「高齢者を怖がらせるためのフェイクニュース」と一蹴しました。
これは孤立した事件ではない
今回の報道は、DOGEとSSAをめぐる一連の問題の最新事例に過ぎません。その背景を理解することが重要です。
トランプ大統領が昨年就任して以来、少なくとも12人のDOGE関係者(大半がエンジニアや技術スタッフ)がSSAに配置されましたが、彼らの実際の役割や活動は他のスタッフに知らされていませんでした。
今年1月には、別のDOGEメンバー2人が、特定州の「選挙結果を覆す」ことを目的とした団体を支援するため、本来アクセスが禁じられている社会保障番号にアクセス・共有したとして訴訟が起こされました。また昨年には、別の内部告発者が「DOGEメンバーが数億件の社会保障記録を脆弱なクラウドサーバーにアップロードした」と告発。さらに連邦裁判所の判事が、DOGEによるSSAシステムへのアクセスを「事実上、不正を探し求める無差別な調査行為だ」として差し止めを命じています。
一連の経緯を見ると、これは単なる一個人の逸脱行為ではなく、構造的な問題である可能性が浮かび上がります。
なぜ今、この問題が重要なのか
サイバーセキュリティの専門家たちが長年警告してきたことがあります。「内部の人間(インサイダー)こそが最大の脅威だ」という点です。どれほど強固なファイアウォールを築いても、正規のアクセス権を持つ人物が意図的にデータを持ち出せば、技術的な防御はほぼ無力です。
この問題が日本の読者にとって対岸の火事でないのは、いくつかの理由からです。
まず、アメリカと日本は緊密な同盟関係にあり、両国間では膨大な個人・機密情報が共有されています。在米日本人や日系アメリカ人のデータがSSAに登録されている可能性もあります。次に、日本政府も現在、マイナンバー制度を中心とした行政のデジタル化を急速に推進しています。今回の事件は、「効率化」を名目にしたシステムへの急速なアクセス拡大が、いかなるリスクをはらむかを示す実例となっています。
さらに大きな文脈で見れば、これは民主主義国家における「政府データへのアクセス統制」という根本的な問いを突きつけています。効率化のために誰がどのデータにアクセスできるかを決める権限は、誰が持つべきなのか。その判断プロセスに透明性はあるのか。
各ステークホルダーの視点
一般市民の視点から見れば、今回の事件が本当であれば、自分たちが生涯一度も会ったことのない民間エンジニアに、社会保障番号から両親の名前まで知られているかもしれないという現実です。データ漏洩が発生した場合、なりすまし詐欺や金融詐欺のリスクは長期にわたって続きます。
政府・規制当局の視点では、監察総監のような独立機関がどこまで調査権限を行使できるかが問われます。調査対象の機関が現在もDOGEの管理下にある以上、独立した調査がどこまで可能かは不透明です。
サイバーセキュリティ専門家の視点では、「神レベルのアクセス権」という表現が特に問題視されています。最小権限の原則(必要最低限のアクセス権のみを付与する原則)は、セキュリティの基本中の基本です。それが守られていなかったとすれば、組織としてのガバナンスに深刻な欠陥があったことになります。
企業・ビジネスの視点では、政府系請負企業がこのような事態に適切に対処できる内部通報制度を持っているかどうかが問われます。今回、内部告発が行われたこと自体は機能していた証拠ですが、告発者が保護されるかどうかはまだ不明です。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
米国防総省がDHS移民摘発への民間職員の「ボランティア」参加を強く推奨。軍と移民行政の境界が曖昧になる中、日本や国際社会への影響を多角的に考察します。
Mandiant創業者Kevin MandiaがAIネイティブのサイバーセキュリティ企業Armadinを設立。シードとシリーズAで約190億円を調達。自律型AIエージェントが攻撃と防御の両面を変えようとしている今、日本企業はどう備えるべきか。
中東の紛争で多発するGPS妨害・スプーフィング攻撃。配送アプリの誤作動から電力網・医療システムへの影響まで、衛星測位の脆弱性と次世代技術の可能性を解説します。
米国防衛企業L3Harrisが開発したとされるiPhoneハッキングツール「Coruna」が、ロシア政府系ハッカーを経て中国サイバー犯罪集団の手に渡った。兵器の拡散と国家サイバー安全保障の深刻な実態を解説。
米国防総省がDHS移民摘発への民間職員の「ボランティア」参加を強く推奨。軍と移民行政の境界が曖昧になる中、日本や国際社会への影響を多角的に考察します。
Mandiant創業者Kevin MandiaがAIネイティブのサイバーセキュリティ企業Armadinを設立。シードとシリーズAで約190億円を調達。自律型AIエージェントが攻撃と防御の両面を変えようとしている今、日本企業はどう備えるべきか。
中東の紛争で多発するGPS妨害・スプーフィング攻撃。配送アプリの誤作動から電力網・医療システムへの影響まで、衛星測位の脆弱性と次世代技術の可能性を解説します。
米国防衛企業L3Harrisが開発したとされるiPhoneハッキングツール「Coruna」が、ロシア政府系ハッカーを経て中国サイバー犯罪集団の手に渡った。兵器の拡散と国家サイバー安全保障の深刻な実態を解説。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加