セキュリティを超えるマイナンバー制度の懸念とは?

日本人にとって新しい制度である「マイナンバー制度」は、セキュリティ対策をしてもまだ懸念すべき点があるようです。今回はこのことに関する記事を紹介します。

懸念される分散データベースの「運用」

「セキュリティ対策にも増して懸念しているのは、全体としての運用がスムーズに行くかどうかだ。マイナンバー制度は、分散された個人情報を連携する仕組みになっている。だが、分散された個人情報のデータベースは、例えば地方自治体だけでもおよそ1800カ所に及ぶ。そうした相当な数の分散データベースをうまく管理し運用していけるかどうかだ」

「こうしたデータベースを管理し運用する場合、本来ならば同様の制度を実施している他国のように一元化できれば、仕組みとしてはシンプルで扱いやすいものになるが、日本では個人情報を一元管理すると憲法違反になる可能性がある。加えてセキュリティ面でも危険性が高まることから、分散して管理する形で進んでいる。ただ、これだけ大規模な分散管理は前例がないだけに、うまく運用できるようにこれからさらに入念な準備をしていく必要がある」

富士通総研 経済研究所 主席研究員の榎並利博氏のインタビュー記事からの抜粋です。

何事も、前例のないことには懸念が付きまとうのが常ですね。

 (18497)

マイナンバーを含む個人情報を「盗みたい人」について考察する。

マイナンバーについては、「盗みたい人」について考察することで、どの程度対策をすべきなのかを検討することが出来る。

マイナンバーという国民ひとりひとりにユニークな番号が与えられるのであるが、利便性やメリットはすでに多く語られている通りである。しかし、その利益は闇社会も享受することになる。例えば、振り込め詐欺などに代表される特殊詐欺の実行犯にとっては、喉から手が出るほど欲しい情報となる。

特殊詐欺の関係者達は、「既に」個人情報を潤沢に保有していると考えられる。そして、職員名簿や家族構成などを組み合わせて、詐欺に使うのである。このときに、複数のデータベースの同一人物の突き合わせが最も重要な要素になる。同姓同名でも同一人物とは限らないし、姓が違っても同一人物かもしれない。

マイナンバーが一緒に手に入れば、たちまち「名寄せ」が出来てしまうのだ。犯罪者がすでに保有していると思われるデータベースの利用価値が格段に向上すると考えられる。これまでつながっていなかったデータまでもが意味を持ってしまうことになる。より正確で広範囲な個人情報は詐欺には非常に有効であろう。

内部関係者が付与されているアクセス権限でマイナンバーなどの個人情報にアクセスする場合、データベースが暗号化されていても、パソコンの画面には復号化された情報が表示されることになる。この画面を印刷もしくはスマホなどで撮影するだろう。あるいは、ファイルとしてUSBメモリーにコピーするだけでいいかもしれない。

これまでの個人情報よりも価値のあるマイナンバー付きの情報であれば、これまで以上に闇社会での「買い取り価格」は上昇すると推測されるので、これまで以上のモチベーションを持って内部関係者を誘惑したり脅迫したりすることも考えられる。つまり、これまでのセキュリティ対策よりも一段上の対策を施す必要が有る、ということである。

高度なサイバー攻撃よりも、企業内部からの関係者による情報流出の方が多いと聞きます。

まずは企業の中から改善していくのがいいのかもしれません。

 (18503)

社内クリーンアップ作戦?

個人情報の漏洩よりも心配すべき問題

もっと心配すべきことがある。それは国家や企業による「悪用」である。

一人の個人情報が漏れるということよりも、その情報が同意した覚えのない目的のために使われることをこそ心配すべきなのだ。

日本人は国家や大企業を信頼している人が多い。もちろん国は「今から悪用します」と言って悪用するわけではない。「国民の皆さん、利用者の皆さんの暮らしが便利になります」という美辞麗句とともに悪用は行われる。今はまだ社会保障、税、自然災害の分野だけに限られているが、マイナンバーの拡張性は大きい。

マイナンバー制度は、個人情報の漏洩を想定したセキュリティについてはかなりよく考えて作られている。「後発」だけあって、諸外国の共通番号制度とも、年金番号とも違う仕組みで、個人情報を守っている。マイナンバー制度そのものに反対する意見は聞くが、マイナンバーの制度上の欠陥・欠点を批判する意見はほとんど聞かないのも制度がよくできているからだ。

マイナンバーを「絶対に他人に知られてはいけない番号」と思っている人も多いようだが、マイナンバー制度は初めから番号が漏洩した場合も想定していて、番号が漏洩しても簡単には個人情報にはアクセスできないような仕組みになっている。

国や企業といった大元に悪用されたらお手上げです。
 (18507)

マスコミや有権者は、制度の賛否だけではなく運用や導入過程の話をすべき!

今回話題にしたいマイナンバー制についても賛成論や反対論は聞こえてくるものの運用面や導入スケジュールに関する議論はあまり聞こえてきませんが、私はマイナンバーそのものには賛成しているものの、マイナンバーが使用される項目、運用面や導入スケジュールについては大きな懸念を持っています。
まず懸念しているのが導入スケジュールが短いということです。

マイナンバーは結構大規模な新制度の導入であり、何よりも国民の個人情報に関わる制度なので、極めて慎重な“発生しうるリスクの洗い出しと対策・準備”が必要です。

しかし、導入スケジュールが短すぎるため、行政の現場が明らかに十分に対応できていません。

確かにスケジュールが短かったと思われます。

これだけ大きな制度なら、せめて今年の頭ぐらいから通知を始めるべきだったのでは?

まだ通知カードが届いていない人は、年末調整もできずに困っているはずです。

 (18512)

認識不足による、重要度の高いトラブルの発生が懸念される。

今回のマイナンバーのトラブルが他人事だと考えている会社は、危険です。
決して、特別な事案ではなく、どの会社でも発生してしまう物です。
システムトラブルや詐欺などの犯罪行為でマイナンバーが狙われたり、
従業員の認識不足で、顧客のマイナンバーを漏洩してしまうことは十分に想像できます。
ほとんどの情報漏洩は人間が引き起こす

情報漏洩は、内部の人間が引き起こす割合が約8割で、外部からの悪意ある攻撃による割合は2割程度です。その内部理由とは、管理ミス、誤操作、紛失などのヒューマンエラーであり、人災とも言っても過言ではありません。内部の人間の認識不足や不注意をいかに解決するかが大切です。

人間が引き起こす要因がほどんどであり、不正アクセスは全体の5%にすぎません。

やはり鍵は「人間」です。

認識不足からの情報漏えいは、たとえ過失であったとしても企業へのダメージは計り知れません。

社内教育の徹底や、新人採用時の面接等の強化、あとは運頼みというところでしょう。

 (18517)