セキュリティの専門家はいますか？【マイナンバー】

マイナンバー情報（社会保障番号）漏えい事件

2015年2月：米国：約8,000万件
医療保険サービス外部からの不正アクセスによる窃取
氏名、生年月日、加入者ID、SSN（※1）、住所、電話番号、電子メールアドレス、勤務先情報が漏えい

2014年4月：カナダ：900件
歳入庁脆弱性を利用した不正アクセスによる情報改ざん納税者の社会保障番号の削除

2014年1月：韓国：約2,000万件
クレジットカード複数社内部犯行による情報の不正持ち出し住民登録番号（国民ID）や金融機関の口座番号を含む顧客の個人情報が漏えい

今年からスタートする非常に影響の大きい施策であり、全企業、全国民に大きな負荷が発生するにもかかわらず、国民への啓蒙が極端に遅れており、準備の時間が足りなくなるのではと危惧されています。 事業者は、給与計算の源泉所得税、健康保険、年金の資格取得申告や納付時に職員と扶養家族のナンバーを記述する必要があります。それに加えてマイナンバーは「特定個人情報」と言うこれまで以上にセキュリティーを強化した取扱いが必要な情報であるため管理リスクも高まります。（先行導入した米国では、現実に毎年5,000億円の損害賠償が企業で発生しています）

1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。

「Aegis Wall」では、技術的安全管理措置にて提示されている４つの要件すべてに対応したセキュリティソリューションを提供します。

マイナンバー利用状況管理支援「splunk」
マイナンバーを取り扱うさまざまなシステムや情報機器の利用状況（ログイン実績・アクセスログ等）を一元管理することで、適切な運用を支援します。

＜マイナンバーデータベース構造と運用イメージ＞
マイナンバー専用のデータベースは「Eiボード」のユーザー管理・アクセスログ管理に加え、マイナンバーの取扱権限管理の設定ができます。
これにより、日本税理士会連合会発行の「税理士のためのマイナンバー発行ガイドブック」に即したマイナンバーの収集から破棄までの適正な管理・運用を支援します。