マイナンバー流出第１号が発生！マイナンバー流出第２号企業にならないようにするには。

茨城県取手市でマイナンバーが流出する事故が報じられました。これは、住民票を発行する自動交付機の設定ミスのため、誤ってマイナンバーが記載された住民票69人分を発行していたというもので、このうち42人が発覚前にマイナンバーが記載された住民票を勤務先や自動車販売店等に提出してしまっていました。

マイナンバー流出第1号ということもあってかメディアはこぞってこの事故を報じ、ネットには取手市に批判的な投稿が多数書き込まれました。また、市側は謝罪会見を開く等の対応に追われることとなりました。

漏洩を未然にする防ぐ予防策も重要ですが、どれだけ策を講じても、100%漏洩を防ぐことはできません。万一、漏洩が生じた際にも直ちに検知し拡散前に対処できる体制を整えておくことが重要です。

漏洩した情報が拡散するまでにタイムラグある場合がほとんどなので、拡散前に漏洩を検知し適切に対処することによって被害の拡大を食い止めることができます。

現在、サイバー攻撃を仕掛ける攻撃者目的は、情報そのものだけではない。企業の価値や信用を失墜させることが目的になる場合もある。制度が始まったばかりで、情報流出について注目が集まりやすく、対策も手薄ならば、多くの企業が攻撃者の格好の標的になることは想像に難くない。

そのため、先述した「技術的安全管理措置」で取るべきセキュリティ対策では、対策のレベルについては言及されていないものの、攻撃者の標的になりやすい中堅以上の企業は「マイナンバー流出企業第1号」にならないためにも、標的型攻撃の対策も視野に入れ仮想実行環境を活用したセキュリティ体制を構築しておく必要があると言えるだろう。

マイナンバーは、規模にかかわらず日本の全企業が扱う情報です。そのため、これまで『重要な情報などない』と言っていた企業もそうは言っていられません。ですので、マイナンバー制度導入を契機としてセキュリティ対策を見直していただきたいと思います。

また、この制度によって情報通信は紙からデジタルへさらにシフトしていくことでしょう。いかに零細企業といえども、十分なセキュリティ対策を行わないことは『企業としての存在が否定されかねない』時代になったと言えます

企業においては、役所などへの提出書類に従業員の 「個人番号」を記載するなど様々な業務で取り扱う事になります。機密性の高い個人情報を扱う事になるため、基幹系システムの対応はもちろん改めて個人情報の取り扱いのルールや情報漏えい対策の強化が求められます。

特定個人情報は、不正に扱われた際のリスクが高い情報のため、従業員から個人番号を預かる「取得」から、従業員の退職時に保管していた個人番号を削除する「廃棄」まで適正な取扱が必要です。特に保管、利用、提供のフローで情報漏えいリスクが高まります。

マイナンバーを含む個人情報を漏洩させてしまうと、漏洩者はもちろん、それを監督する企業にも法律による罰則が科せられる場合があります。このような不祥事は企業のブランドイメージを大きく損ない、企業、経営側の責任問題が追及され、ビジネスに深刻な悪影響を及ぼす恐れがあります。

このようなリスクに対応するため、企業はマイナンバー法とその取扱いガイドラインを守る必要があります。

マイナンバーに関するガイドラインには、取得手順や利用範囲の制限、情報セキュリティ対策など、企業が実施すべき具体的な施策がきめ細かく定められています。特定個人情報を扱う企業はすべて、定められたセキュリティの強化が必須となります。

マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。

悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。