マイナンバー情報漏えいを100%防ぐ事は、初めから無理だと思っておいたほうがいい？

今の日本では預金口座を開設するのに厳しく身分証明が求められることを考えると
単にマイナンバーが他人に知られたからといって、すぐに他人が預金口座を開設できる
ということは考えられません。

いずれインターネット上でマイナンバーが付されたデータの確認が
できるようになるとのことですが、これもマイナンバーだけで
閲覧ができるはずがありません。

当然パスワードが必要ですし、電子申告のように個人番号カードを
カードリーダーにかざすなどが必要になるのではないでしょうか。

印鑑証明や住民票の届け出だって、
個人番号カードの提示を求められたりするはずなので、
とても番号だけわかったからなにかができるということにはならない。

政府広報にも「万一流出してもチェックは厳重なので大丈夫」
と書いてあります。

最悪漏れたらマイナンバーは変更できるわけですし。

要するに、マイナンバーは何重かのロックのうちの一つのキーだということ。

漏れないほうがいいのは間違いないが、最悪それ一つが漏れたとしても、
他のもっと強力なロックが突破されなければそれほど実害はないでしょう。

心配されているなりすましの問題というのは、
すべて銀行や役所などの「手続きの運用」の問題であり、
そのチェックを強化して防げばよいのではないかと。

別に従業員の税金や社会保険の申告をするだけの企業に
そこまでマイナンバー自体の保管を厳密にさせる理由にはならないはずです。

事実、法人番号は公開されます。

だからといって、預金口座が勝手に開設されたり、
会社の決算内容が他人に閲覧されると考える人などいないはずです。

もちろん、プライバシーに関するデータについて、銀行や役所などは、
「今までどおり」徹底的に情報漏洩しないように万全を期すべきだし、
悪意で流用させるような人には厳罰を課せばよい。

国家による管理を嫌う人の「漏れたらどうするのだ！」という批判を
かわすためのしわ寄せが、なぜか
「漏れないための最大限の努力をマイナンバーを預かった企業に課す」
というおかしな方向に向かった気がしてなりません。

企業による情報漏洩が止まらない。情報漏洩は、サイバー攻撃等による「組織外部からの攻撃」と「組織内部の不正行為」の大きく2つに分けられるが、特に最近その被害額が甚大になりがちなのが内部による犯行だ。ある大手出版社の個人情報が流出したことで約200億円の賠償を行ったことは記憶に新しい。また、ある大手電機メーカーでは製品データの流出により約1000億円の被害を出した。

こうした被害を防ぐ有効な防御策の1つが、全社員のメールの監査だ。これをくまなくチェックすることで、個人情報や機密情報が外部に流出するのを防ぐわけだ。

しかし、それは言葉でいうほど簡単なことではない。

独立行政法人情報処理推進機構（IPA）が2012年に発表した「組織内部者の不正行為によるインシデント調査」報告書において、「不正をしたいと思う気持ちを高めると思うもの」について質問したところ、1位が「不当だと思う解雇通告を受けた（34.2%）」、2位が「給与や賞与に不満がある（23.2%）」、3位が「社内の人事評価に不満がある（22.7%）」と組織における待遇面の不満に関する項目が上位3つを占めていた（図1）。

こうした「不正をしたいと思う気持ち」はどうやって具体的なインシデントへと変化するのだろうか。行動情報科学に基づき数多くの情報漏洩事案を分析した結果、故意の情報漏洩には、実行に移るまでに「醸成」「準備」「実行」という3段階のフェーズがあることがわかったという。

3つのフェーズの中でも、先の調査であげた「会社への不平不満」「金銭面でのトラブル」など、犯行者が情報漏洩を行う動機が生成されていく「醸成」フェーズのメールを発見することが、監査において非常に重要となる。

最近、「日本年金機構」１２５万件、「東京商工会議所」１万２千件と、大きな組織の情報漏えい事件が相次いでいます。

そんな中、「そんな大きな組織の情報漏えい事件はうちには関係ない」と思われている、会社の社長様、総務担当の方が多くいらっしゃいます。
果たして、本当にそうでしょうか？

はっきり申し上げますが、関係はあります！

今回、日本年金機構等で起きた個人情報漏えいの原因は、特定の企業・組織を狙った標的型攻撃によるものでした。つまり、日本年金機構という膨大な個人情報データを持った組織を「狙った」サイバー攻撃だったのです。

個人情報は、名簿業者やブラックマーケットで高額で取引されています。
昨年起きた、ベネッセの個人情報漏えい事件は、委託先の会社の従業員が、個人的な借金返済のためデータを抜き出し、名簿業者に売るという、人為的要因による情報漏えいでした。 この事件を通して、私は改めて「個人情報は売買されるもの」だと再認識しました。

中小企業の社長様や総務担当の方とこの事件のお話をしても、他人事のように
「へー、大変だよね。でもうちには関係ないよな。取られるほど多くの情報は持ってないし、わざわざサイバー犯罪者がうちの会社を標的にはしないでしょう？」 と言われることが、本当に多いです。

「標的」にされる事はほとんどないでしょう。あったとしてもごく稀です。
ただし、標的にされる事はなくても、サイバー被害に遭う可能性はあります。

１０月から始まる共通番号（マイナンバー）制度のサイバー攻撃対策として、政府は、
制度を監督する行政委員会にセキュリティー対策部門を設置すると同時に、
自治体間ネットワークを集中監視する組織（ＳＯＣ）を新設する。

日本年金機構の個人情報流出問題を機に、制度への不安が出ていることを受けた。
さらに、これまで中央省庁に限っていた国によるセキュリティーの監視や監査の対象も、
年金機構を含めた一部の特殊法人や独立行政法人に拡大する。

いずれも今年度内に実施する方針。

マイナンバーを的確に管理できず、漏洩してしまった場合には、罰則もある。例えば、マイナンバーを扱う事務担当者などが正当な理由なくして特定個人情報（マイナンバーを含む個人情報）を他人に提供した場合、最高懲役4年および200万円以下の罰金を科される。また、個人のみならず企業が罰せられる可能性もある。
マイナンバーを含む個人情報（特定個人情報）は秘匿性が高い情報なため、個人情報保護法が適用されない企業（事業者）にもマイナンバー法は適用され、課される罰則も厳しいのである。
通常、個人情報保護法では、5000人を超えない情報は適用除外としている。つまり、中小企業の従業員情報は概ね適用除外になりそうである。しかし、マイナンバーは源泉徴収や社会保険料の支払い、災害対策など特定の目的のために、勤務先に提供されるものである。勤務先がそれ以外の目的（例えば従業員の業務管理）でマイナンバーを利用することはできないし、漏洩した場合は厳しい罰則が科される。