マイナンバー流出をいかに阻止するか

日本年金機構は１日、サイバー攻撃を受け、年金の受給者と加入者の基礎年金番号や氏名などの個人情報が流出した、と発表した。現時点で約１２５万件が流出したとみられ、さらに増える可能性がある。年金の支払い業務に特段の影響はないとしている。機構側の相談を受けた警視庁公安部は、不正アクセス禁止法違反や不正指令電磁的記録作成などの疑いがあるとみて捜査を始めた。

　インターネットバンキングの不正送金の被害が深刻化している。2014年の被害額は29億円を超え、13年比で約２倍に膨らんだ。地方の金融機関で被害が集中し、企業のネット銀行口座が狙われた。相次ぐ被害を受け、金融庁は２月に新たに監督指針を公表し、金融機関のセキュリティー対策の強化を義務付けた。ただ専門家は「現状と離れすぎていて実行するのは難しい」と疑問視する。

マイナンバー法では、マイナンバーを企業が従業員から取得したり、社会保障や税の手続きで自治体や税務署などの公的機関がマイナンバーを利用したりする際には、顔写真が付いた個人番号カードや運転免許証などを用いて厳格に本人確認を実施することが義務付けられている。

このため、仮にサイバー攻撃によってマイナンバーが漏えいしたとしても、犯罪者はマイナンバーや氏名・住所などの情報だけで本人になりすまして各種手続きができるわけではない。また、マイナンバーだけで各種公的機関が保有する個人情報を、オンラインで検索したり名寄せできたりするわけでもない。窃取・漏えいによってマイナンバーが直ちに悪用されるリスクは限りなくゼロに近い。

マイナンバー導入済みの米国では、数々の情報漏えい事例が発生！
実際に日本のマイナンバー制度に相当する「社会保障番号」を1936年から導入済みの米国では、個人番号の漏えいにより数多くのトラブルが発生しています。

ある被害報告を挙げれば、Aさんがサマーキャンプの参加時に提供した社会保障番号がサイバー攻撃者の不正侵入によって盗まれ、気付かないところで、42の金融機関から借金を重ねられて、ひいては借金が150万ドルにも積み重ねられたという事例があります。この結果、Aさんは金融機関のブラックリストに載り、社会的信用を失うことになりました。

米国の連邦取引委員会からは、1170万件のなりすまし被害と毎年約5兆円の金銭的損害が報告されていますが、個人の被害については、上記のように金銭のケースだけでなくパスポート偽造や住民票移転・婚姻届提出が行われるなど多様な事件が発生しています。この時企業は、これら被害を受けた個人から訴えられるリスクが発生することも、十分理解しておく必要があります。

情報漏えいの対策として、例えば人事・給与システムへのアクセス権やアクセスログの取得、および不正アクセスがあったときにいち早くアラーム情報を情報管理責任者にあがるようすることなどが考えられます。拠点が多い、あるいはアクセスする担当者が多い企業は、業務の見直しを図るとともに物理的にもアクセスを制限するシステムへの変更を検討したほうが良いでしょう。今までと同様な取り扱いルールやシステム運営では問題が発生する危険性があります。マイナンバー情報に対する取り扱い注意の意識や法的な罰則事項を従業員へ啓発することも必要となります。
なお、情報漏えいに関する対策は、総務・人事・情報システムなどの部門を超えて、経営者レベルの全社的な情報セキュリティポリシーに沿って行う必要があります。マイナンバーを新たなビジネスチャンスとするためにも経営者層もマイナンバー制度について詳しく知っておくことが重要となります。

　マイナンバーをきっかけに、本格的に情報漏えい対策に取り組み始めた企業も多いことと思います。どの企業でも、特定個人情報以外にもさまざまな情報を保持しています。これらの情報を守り、顧客や取引先に迷惑を掛けないために、情報漏えい対策は不可欠です。

しかしマイナンバー前夜にサイバー攻撃被害が相次いでいます。情報漏えい事件といえば、5月に起きた日本年金機構の事件がまだ記憶に新しいでしょう。125万件もの個人情報を流出させてしまったきっかけは、職員宛てに送られた「標的型攻撃メール」といわれています。

「標的型攻撃メール」という名前には、ものものしい印象がありますが、実は非常に身近な話題を偽装した、添付ファイル付きのメール。例えば「健康診断のお知らせ」とか「セキュリティ対策について」など、誰しもうっかり、もしくは忙しさに紛れてつい、よく確認せずに開いてしまいそうなシロモノ。これを開いたことがきっかけでパソコンがウイルスに感染し、それが職場のネットワークから情報が盗まれるきっかけになるのです。

ハッカーは、そんな身近な、誰にでも可能性のありそうなミスを誘って、大切な情報を狙います。「こんなメールは不特定多数にばらまかれているだろうから、私ぐらいが開いてもどうってことない」などと侮っていると、実は計画的に仕組まれていて、あなたや同僚、職場のパソコンの利用者など、ターゲットを絞って送られて来ているものだったりします。職場内の誰かの、ちょっとしたダブルクリック1つで、大変な事態が引き起こされてしまいます。

「標的型サイバー攻撃を受けてしまうと、システムに侵入されること自体を防ぐのは難しいです。ただし、標的型サイバー攻撃は、特定企業の特定の情報を得ることを目的としています。つまり、侵入されたとしても、その情報さえ盗まれなければいい。そのための対策を、しっかりとしておくべき」（同）

日本年金機構であれば、攻撃者が狙ったのは年金加入者の情報だった。感染が確認された時点で、この情報へのアクセスを遮断するべきだったのだ。

だが、こうした処置を行うには、組織がサイバー攻撃に対する知識を持っておく必要がある。リテラシーを高めておくことで、感染した際、迅速にシステム管理者へ通知され、攻撃者が欲しい情報へのアクセスを遮断できるのだ。

「さらに社員が全ての情報にアクセスできないよう仕切りを作っておくことも重要です。情報が必要な人だけがアクセスできるよう細かく設定しておく」（同）

所属する組織を崩壊させかねないサイバー攻撃。知らない間に自分が加担し被害を拡大させることがないよう、セキュリティに関しての正しい知識を備えておきたい。