マイナンバー制度の落とし穴を知っておきましょう！

「あまりに企業が知らなすぎる」。情報セキュリティ対策サービスを提供するS＆Jの三輪信雄社長はマイナンバーの刑事罰に対する理解が浸透していない現状に強く警鐘を鳴らす。

三輪氏は日本で最初にセキュリティサービスを立ち上げた業界の重鎮。自社業務に加えて総務省の最高情報セキュリティアドバイザーや様々な企業・団体のセキュリティの指南役を務めている。政府や自治体のマイナンバー対応の出足の鈍さは各所で指摘されているが、企業の対応は「さらに遅れている」。

　企業は2016年から税や社会保障に関する書類に、従業員のマイナンバーを記載する必要がある。16年初めにも従業員からマイナンバーを集める作業が始まるとみられるが、「アルバイトを雇うにも、配当金を支払うのにもマイナンバーの収集と管理、書類への記載が必要になる」。マイナンバーを含む特定個人情報は個人情報よりも一段上の管理体制が求められ、罰則規定も強化されている。仮に社員が特定個人情報を横流しした場合、その雇用主である企業も責任を問われるほどの厳しさだ。

　どの程度の刑事罰なのか。最も重いものは4年以下の懲役または200万円以下の罰金もしくはその両方を科せられる。正当な理由がなく特定個人情報ファイルを提供した場合だ（図）。業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供、盗用すると、3年以下の懲役または150万円以下の罰金もしくはその両方が科せられる。「マイナンバーはおいそれとは変更できない。罰則を重くして厳重な管理を求めているのだろう」（三輪氏）

　では、サイバー攻撃による不正アクセスや内部犯行に遭い、特定個人情報の漏えいを防げなかった場合はどうだろう。内閣府が公開する資料にはそういった記載がない。問い合わせてみると「過失がないと証明できれば刑事責任は問われないが、民事責任はわからない」との回答だった。

2016年1月のマイナンバー制度開始に向けた対応が急ピッチで進んでいる。筆者のコンサルティング先の銀行で不安が現実になりかねない“落とし穴”を見つけてしまった。

A銀行におけるマイナンバー制度への対応では幸いにも有名なSIerがべったり張り付いて作業をしている。対応への不安はないが、なんとなく「これでいいのか？」と感じているとのことだ。相談とは、現状の作業に問題がないか調査してほしいというものであった。筆者としては現場を確認するチャンスであり、勉強にもなるかもしれないと考え、快諾した。

　その結果、組織のあり方や金融庁の指針に沿った対応になっているかというレベルでは、さすがに一流のSIerを採用しただけに、幾つかの小さな点を除けばほとんど完璧であった。強いて言えば、やはり「教育」の進捗に芳しくないところがみられた。特に、「なぜマイナンバーを導入するのか？」「ほかの個人情報とはどう違うのか？」「保守における注意点とは？」といったところである。

　そこで、本質論からきちんと教育ができるSIerの熟練の講師に対応してもらうことになった。これで取りあえずは大丈夫だろうと思われたが、念のためピンポイントで日本のSIerが見逃しがちなポイントを中心に、さらに調査を進めた。そこで、1つだけ非常に大きな不安な事実がクローズアップされてしまったのである。

それは、この連載でも何度かお伝えしている「万一の場合への対応」である。

　もしこの体制で本番業務に突入し、万一のことが起きれば――バッチ処理のリカバリ対策とか、オンライン時における業務制限の対応とかといった“ミクロ”の観点ではなく、銀行全体がどう動くかという「コンティンジェンシープラン」が全く用意されていなかったのだ。

　コンティンジェンシープランとは、「緊急時対応計画」とか「非常事態発生時対応計画」と呼ばれるものである。A銀行に、なぜコンティンジェンシープランがなかったのか。

　その理由は簡単だ。BCP（事業継続計画）でも同じだが、非常時に必要とされることの備えが、ほとんどのケースにおいて「後付け」での対応になっている。つまり、システム全体の中で「動いて生きているプラン」として全く認識がされていないからである。

米国の制度で、日本のマイナンバーにあたるのは、「社会保障番号」と呼ばれるものだ。アメリカのクライムサスペンスドラマなどで目にした、耳にしたことがあるという人も多いことだろう。

　この社会保障番号の犯罪への悪用の例は数限りなく存在する。例えば、とある女子高生が卒業を控え、はじめて自分のクレジットカードを作ろうとした。しかし、どうしても作れない。カード会社から申請を拒否されるのだ。

　調べてみると、なんと、彼女には借金が１５０万ドル（1億8,000万円）もあったことが発覚。借金は、クレジットカードなど、４２もの口座で作られていて、もちろん彼女自身には全く身に覚えのないものだった。そう、この口座は、どこかで盗み出された彼女の社会保障番号を悪用して作られたものだったのだ。

社会保障番号は公的機関でも民間でも幅広く利用されているため、これを盗み出せば、様々な申請が他人名義で可能になってしまう。銀行やクレジットカードなどの金融機関はもちろん、携帯電話や電気、ガス、運転免許、就職、大学の学生番号などの会員番号と結び付けられているのだ。

　司法省の統計によると2006～08年のなりすまし被害は、実に約1,170万件。被害額は約１７３億ドル、つまり日本円に換算して約2兆700億円という、とてつもない被害が出ているのだ！

マイナンバー制度に対応する際の、意外な落とし穴をご説明します。

1.社員番号をマイナンバーにするなど、社員管理のために使うべからず
マイナンバー（個人番号）は、用途が限定されています。「一生変わらないので便利」だからといって、マイナンバーを流用（社員番号にする、パスワードにするなど）してはいけません。

2.日本人の社員さえ管理しておけばOK！と安心すべからず
対象は「住民票を有する人」なので、日本在住の外国人もマイナンバーを持つ可能性があります。また、外注デザイナーのような個人事業主や、地代の地払いなど「支払調書」を交付する相手も対象になります。

3.事務手続きは　「外部委託しているから安心」　と思うべからず
委託先が、自らが果たすべき管理レベルと同等の安全管理をしているかの監督責任があります。管理をしておらず委託先で漏えいが発生した場合、委託元（貴社）も番号法違反を問われる可能性があります。

委託の取扱い
Ｑ３－１「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。」としていますが、委託先において、番号法が求める水準の安全管理措置が講じられていればよく、委託者が実際に講じている安全管理措置と同等の措置まで求められているわけではないと考えてよいですか。
Ａ３－１委託先は番号法が求める水準の安全管理措置を講ずるものであり、委託者が高度の措置をとっている場合にまで、それと同等の措置を求めているわけではありません。ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守する必要があります。