マイナンバー制度が開始され、企業にとっては悩みの種が1つ増えました。それは従業員のマイナンバーをいかに安全に管理するかということです。そこで情報漏えいのリスクや影響、そして必要なセキュリティ対策についてまとめました。
企業に義務付けられるマイナンバーの管理
マイナンバー制度が始まると、企業は税金や社会保険の手続きにおいて、従業員などからマイナンバーを本人確認を行った上で収集し、書類などに記載しなければなりません。マイナンバーの収集対象者は、役員、パート、アルバイトを含む従業員だけではありません。その扶養家族、さらには、講師の謝礼や原稿料、不動産使用料、配当などの支払い先なども含まれます。 また、法律で定められた目的以外には利用できないため、その収集から保管・利用・破棄に至るまで、個人情報保護法以上に厳格な管理が義務づけられます。
マイナンバーとは、国内に住民票を持つ全ての国民に対して、2015年10月から通知される12桁の数字の「個人番号」だ。民間企業では2016年1月以降、健康保険や年金などの手続き、源泉徴収票への記載にマイナンバーを利用する。そのため、事前に従業員から本人とその家族のマイナンバーを収集して確認を行い、制度で決められた業務での利用と、マイナンバー関連情報の厳重な保管・管理、確実な廃棄・消去が義務付けられている。
情報漏えいのリスク
マイナンバー先進国の米国や韓国では、日本と異なり保護規制が厳しくなく、なりすましによる被害が発生しています。
米国では、連邦取引委員会によると、なりすまし被害は2006年~2008年の3年間で1,170万人、損害額が毎年約5兆円と報告されています。
社会保障番号の不正利用により
年金および医療給付金などの不正受給
失業給付金の二重受給
他人の社会保障番号による銀行口座の開設
といった被害が発生しています。
また、韓国では、民間でのマイナンバー収集の弊害として、大規模な住民登録番号の漏えい、クレジットカードの不正使用が発生しています。(新規のID番号の導入を検討中)
これらの事例では、マイナンバーのみで本人確認を行うことや、用途制限の少ない環境でのマイナンバーの民間利用が、問題とされています。
個人情報保護法でも個人情報を不適切に扱うなどした場合の罰則は設けられています。しかし、番号法では個人情報保護法で設けられている罰則がグレードアップしている上に、いくつかの罰則が新設されました。最も重い罰則は「個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供」した場合の「4年以下の懲役若しくは200万円以下の罰金又は併科」。
ほかにもマイナンバー関係事務担当者が自分の利益や他人の利益のためにマイナンバーを漏洩させた場合や、騙したり、暴力を振るってマイナンバーを強奪した場合などにも3年以下の懲役や150万円以下の罰金が待っています。今あげた3つの行為を含む下図の6つの違反行為が社内で起きた場合は、それをした人だけでなく、その管理者にも罰金刑が科せられるので、担当者選びは慎重に行う必要があります。
情報漏えいの要因
・外部からの脅威による情報漏えい
=PCへのウイルス感染による情報漏えい、標的型攻撃、外部からの不正アクセスなど・内部不正による情報漏えい
=内部関係者による不正持ち出し、外部記憶媒体の紛失など
「外部からの攻撃リスク」と「内部からの情報漏えいリスク」マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。
マイナンバーのセキュリティ対策
内部からの情報漏えい対策
情報漏洩の80%は内部原因「情報漏洩の約8割は内部犯によるもの」そんな言葉を耳にしたことのある方は多いのではないでしょうか。事実、多発する情報漏洩事件における原因の多くは、ハッキングなどの外部要因ではなく、内部の人間による盗難、流出など内部要因が多くを占めているのです。
情報漏えいの原因の8割が、うっかりミスや添付メールの誤送信と言われています。またそれだけではなく、マイナンバーが印刷された書類の持ち出し、リムーバブルストレージによるデータの持ち出し、オンラインストレージへのアップロード、Webメールでの送信などが悪意を持って行われることも考えられ、日常業務の中に情報漏えいのリスクがあふれています。マイナンバー情報(特定個人情報)流出の内部要因を排除する
重要なポイントは、情報漏えいに直結するような利用シーンをなくすことです。たとえば、PCにUSBメモリをはじめとしたリムーバブルストレージを接続できないようにする、マイナンバーを含む特定個人情報を勝手にコピーしたり外部に送信したりさせないようにするなど、システム側で強制的に持ち出しを防ぐための仕組みを整備します。
特定個人情報をPCなどシステムで取り扱う際、有効なセキュリティ対策として「ログ監視(操作ログ管理)」と「PC環境整備(IT資産管理)」があげられます。
外部からの情報漏えい対策
「外部からの脅威による漏えい」の対策として「PC環境整備」が有効です。
ウイルス対策ソフトやOS更新プログラムのアップデートの最新版を適用するなど、常にPCを最新の環境に維持することが重要です。もし環境情報の把握漏れがあった場合は、ネットワーク経由でアップデートを配信・適用することにより常に最新の環境に保つことができます。
サイバー攻撃に見舞われないための一般的な対策方法サーバー資産の把握
自社が持っている情報資産を把握する必要があります。どこのサーバーにどのような情報が保持されているかを確認し、保管されている情報によって重要度をつけてマッピングを行います。これは物理、仮想、データセンター問わず棚卸を行います。これにより、サイバー攻撃の対象が自社のどこにあるのかが把握できます。ぜい弱性の把握
情報を保持しているサーバーの環境を確認する必要があります。そのサーバーで利用しているOSやアプリケーションが何かを確認することで、ぜい弱性を把握できます。発見したぜい弱性は可能な限りセキュリティパッチの適用を行わなければなりません。セキュリティパッチを適用することでそこからの侵入を防ぎます。<OSのセキュリティパッチ適用について>
<OSのセキュリティパッチ適用について>
サーバーログの監査
それぞれのOSやアプリケーションのログを確認する必要があります。定期的にログ監視を行うことで、不正なログインの兆候がないかなどを確認できます。ファイアウォールの設定
ファイアウォールに不必要なポートが空いていないかを確認します。あわせて、新しく追加されたネットワークへの設定が甘くないか、メンテナンス時の設定が残っていないかなども合わせて確認する必要があります。侵入防御/検知製品のログチェック
侵入防御/検知製品のログチェックも重要です。不正な攻撃を受けていないか、そのような兆候が無いかなど定期的なログ監視が必要です。サイバー攻撃の対策として、サーバーのOSやアプリケーションのぜい弱性を自動で検出し、そのぜい弱性を自動的に塞ぐソリューションもあります。また、ファイルやレジストリの変更を監視する機能や、不正ツールをサーバーに置かれるなどの変更があった場合に管理者に警告機能を備えたものもあります。
自社の環境にあわせて、適切なものを選ぶことをお勧めします。
まとめ
そのような事ことにならないためにも、内部からの漏洩と外部からの漏洩の双方に目を光らせ、適切なセキュリティ対策を取る必要があります。
特に、情報漏えいの8割を占める「内部からの漏洩」に対しては十分な対策が必要でしょう。