マイナンバーの情報漏洩とセキュリティ対策について考えてみましょう。行政機関、企業等では、マイナンバー情報の漏洩や不正利用が起こらないように厳重に管理する必要があります。マイナンバーの情報漏洩についての考察、海外での情報漏洩事件の例、セキュリティ対策について考えてみたいと思います。
マイナンバーの情報漏洩(基本事項)
◆マイナンバーカードの記載項目とは?
マイナンバーカードに記載されている項目にはどのようなものがあるのでしょうか。マイナンバーカードに記載されている項目は、氏名、住所、生年月日、「個人番号」、「写真」、その他政令で定める事項になります。
◆マイナンバー漏洩の危険性は?
マイナンバーが情報漏洩することがないように、制度・システムの両面から安全管理措置を行います。これと関連して、マイ・ポータルによるアクセス記録で履歴内容の確認ができます。マイナンバーの監視・監督は、第三者機関である特定情報保護委員会が行います。故意にマイナンバーを情報漏洩させた場合は、厳しい罰則が適用されます。
◆個人情報を一元管理の仕組みとは?
個人情報を一元管理するとよく言われますが、個人情報は1箇所に集中されて管理されるのでしょうか。個人情報の管理は、今まで各機関で管理していた情報は、引き続き当該機関で管理します。必要な情報を必要なときだけ、マイナンバーを情報連携し取り出す仕組みになっています。
◆マイナンバーが情報漏洩した場合、個人情報が芋づる式に情報漏洩する危険性は?
個人情報の管理は、今まで各機関で管理していた情報は、引き続き当該機関で管理します。例えば、国税に関する情報は税務署で、児童手当や生活保護に関する情報は市役所で、年金に関する情報は年金事務所で管理されます。また、役所間で情報をやりとりする場合には、マイナンバーではなく、役所毎に異なるコードを用います。
マイナンバーの情報漏洩(その他事項)
マイナンバーを使って社会保障や税の手続きを行う場合には、個人番号カードや運転免許書などの顔写真付き身分証明書等により、厳格に確認を行いますので、マイナンバーが漏洩しただけでは手続きをおこなうことはできません。また、マイナンバーが漏洩した場合には、本人の請求により、マイナンバーの変更が可能です。
◆番号法の「特定個人情報」、「特定個人情報ファイル」とは、何でしょうか?
「特定個人情報」は、マイナンバー(個人番号)やマイナンバーに対応する符号をその内容に含む個人情報です。「特定個人情報ファイル」は、マイナンバー(個人番号)やマイナンバーに対応する符号をその内容に含む個人情報ファイルのことです。
◆番号法と個人情報保護法はどのような関係になりますか?
特定個人情報も個人情報の一部であり、原則として、個人情報保護法が適用されます。さらに、特定個人情報にはマイナンバーにより名寄せされるリスクなどがあることから、個人情報保護法よりも厳しい保護措置を番号法では上乗せしています。
◆マイナンバーを取り扱う際に個人で気をつけることは何でしょうか?
マイナンバーは生涯にわたって使用する番号なので忘失したり、漏洩したりすることがないように大切に保管する必要があります。また、万が一、マイナンバーが漏洩した場合には、本人の請求により、マイナンバーの変更が可能です。
◆他人のマイナンバーを購買情報提供などで使用してはいけないでしょうか?
社会保障・税・災害対策の手続きにひつような場合など、番号法第19条でを定められている場合を除き他人のマイナンバーの情報提供を求めたり、他人のマイナンバーを含む個人情報を収集し、保管することは、本人の同意があっても禁止されています。これは、従来の個人情報保護法と異なる点です。
マイナンバーの情報漏洩と悪用事例
まず、マイナンバーの情報漏洩について見てみましょう。
◆米国の「医療保険サービス」で「外部からの不正アクセスによる搾取」があります。(2015年)
◆カナダの「歳入庁」で「脆弱性を利用した不正アクセスによる情報改ざん」があります。(2014年)
◆韓国の「クレジットカード会社」で内部犯行により情報の不正持ち出しがあります。(2014年)
次に、マイナンバーの不正利用について見てみましょう。
◆米国の例で、盗んだIDで税申告ソフトを通じて大量の不正な税申告をオンラインで行い還付金を得ようとする事件が発生しました。(2015年)
◆米国の例で、詐欺の目的で、不正にSSNと銀行口座情報を購入しようとし、2年3ヶ月の実刑判決が言い渡されました。尚、SSNとは、ソーシャルセキュリティ番号のことです。(2014年)
◆米国の例で、ある女性がSSNを悪用され続け、高校卒業の時点でクレジットカードとローン口座を42件作成され、150万ドルの借金をされていました。(2011年)
マイナンバーのセキュリティ対策
◆マイナンバー対応の4大要素として、まず、マイナンバー規定を作成し、マイナンバーの取扱いとセキュリティルールを決めて運用します。次に、マイナンバーの取扱区域、システム、担当者を一般から分離します。そして、システムを論理的に防御し、侵入できない、漏洩しないための方法を考えます。最後に、運用状況確認やシステム監視で不正使用や情漏洩を防止します。
◆権限のない人が個人情報にアクセスできないようにすることと、操作履歴の取得、持ち出し制御が重要になります。また、特定個人情報があるサービスアプリケーションの利用者のアクセスコントロールが大事です。基幹情報システム環境と外部インターネットアクセス環境との分離が必要になります。
◆企業で収集されたマイナンバー情報の保管・管理
企業で収集されたマイナンバーは、個人情報が漏洩しないように厳重に保管する必要があります。企業でマイナンバーの入った資料を取り扱う人は、他の人から隔離した場所で作業するなどの配慮が必要なります。関係資料に出力されるマイナンバーは、必要に応じてマスキングなどの処理が必要になる場合があります。
社員が退職した場合は、マイナンバーの入った保管資料、コンピュータ情報はすべて廃棄することが必要になります。
参考文献:
・内閣官房「マイナンバー社会保障・税番号制度」資料
(http://www.cas.go.jp/jp/seisaku/bangoseido/faq/faq5.html)
・Trend Micro「マイナンバー制度の施行に伴うセキュリティの見直し」資料
(http://www.trendmicro.co.jp/jp/business/solutions/mynumber/)