マイナンバーの不正利用や安全措置、保管方法やセキュリティー対策についてまとめました。
マイナンバー情報の漏えいや不正利用
これから企業では従業員とその家族のマイナンバーの情報を管理することとなります。このマイナンバーの情報は決められた法律に従い管理しなければなりません。このマイナンバーの管理で恐れられるのは個人情報の漏えいや不正利用の問題です。もし企業側が対策を怠り、マイナンバーの個人情報が漏えいした場合、企業の信用の失墜、イメージの低下、損害賠償、マイナンバー法による厳しい刑罰がありますので十分にセキュリティーに気をつける必要性があります。
トレンドマイクロは、内部からの情報漏えいと外部からの攻撃による情報漏えいに備えるため、さまざまな脅威に対応する製品をラインナップしています。さまざまなポイントでマイナンバーを含む特定個人情報を守ります。
via www.hammock.jp
技術的安全措置にプラスワンを
中小企業の場合、既にお使いの給与や経理・人事システム自体は、各システムで個人番号のデータ管理や帳票出力などにセキュリティ対策する場合がほとんどでしょうし、オリジナルデータとしてのマイナンバー管理は、今までの社員情報にマイナンバーをセットしてエクセルで一括管理するケースが一般的だと思います。つまり、多くのケースでは、技術的安全措置 に具体的な対策をプラスすることが、有効な手段になるということです。このケースのメリットしては、コストをかけず必要な要件だけに対策できることです。
総務管理を外部委託しているケースでは、マイナンバーを含むファイルを外部と受け渡しする場合が必ず発生します。ファイルを利用できる権限を、管理者と作業者で分け、情報漏洩リスクを低下させることが必要です。・マイナンバー管理者と作業者で、利用権限を分ける
「トランセーファー」は、ファイルを暗号化し、[閲覧]、[閲覧+印刷]、[編集]の3つの権限で利用することができます。たとえば、マイナンバーの管理者は[編集許可]にし、給与担当者は[閲覧]のみなどの運用が可能です。あらかじめ、必要のない権限は与えないことで、リスクをぐっと軽減できます。
・経理や給与が外部委託の場合は、マイナンバー情報を暗号化して渡す
給与業務や税理業務を、社労士や税理士に外部委託するケースも多いと思います。委託先からもしマイナンバーが漏洩してしまった場合も、すべて委託先の責任にはできません。委託元の安全管理措置として、委託先に対する適切な監督義務が生じます。パスワードで暗号化しておく、委託先でも端末を限定して開けるようにしておくことで、対策ができます。
マイナンバーの保管方法
マイナンバーの付記された資料は、重要な機密データです。必ずカギがかかる棚や引き出しに保管しましょう。誰もがそのカギを使用できるようでは意味がありませんので、責任者や担当者しかカギを使用できないように、きちんと管理することが大事です。企業がマイナンバーを取り扱う際は、マイナンバーの持ち出しや、のぞき見などのリスクを最低限にまで抑える必要があります。紙での保管ですと、持ち出しのリスクもありますし、いつ、だれが閲覧・使用したのか履歴をとることが困難だと言われています。上記のような理由から、マイナンバーの含まれる資料はパソコン上、可能であればクラウドベースで保存するのをおすすめしています。
セキュリティー対策
マイナンバーの対応方法を記したガイドラインが、2014年12月に政府より正式に発表されました。行政機関・地方公共団体、企業はこのガイドラインに従った体制構築をしなければなりません。
パソコンなどを使用してマイナンバーを管理する場合のセキュリティ対策についての話ですが、ウィルス対策ソフトを導入し常に最新版にアップデートすることは当然のことです。では、これだけで良いのでしょうか。ガイドラインで物理的安全管理措置や技術的安全管理措置として事業者向けに示されてきた指針がチェックポイントとしては記載されていません。最低限のこととして、画面などを覗き見されないようにパソコンを配置すること、責任者や担当者しかマイナンバーにアクセスできないようにすることは、「適切な管理」のためには必要なことです。このチェックリストに加えて準備していきましょう。
外部委託者に受け渡すファイルに有効期限を付けることができます。年末調整や算定基礎届けなどの事務処理期間中のみデータの利用を許可するなどの運用ができます。一定の安全管理措置を行った状態で、安全にデータの受け渡しを行うことが可能です。
システム対応
システムログ または 利用実績の記録
・ 特定個人情報ファイルの利用・出力状況の記録
・ 特定個人情報ファイルの削除記録
・ 情報システムの利用状況(ログイン実績)の記録電子媒体の持ち出し管理
・持出しデータの暗号化、パスワードによる保護データの完全削除
・専用のデータ削除ソフトウェアによる復元不可能な手段で削除アクセス制御
・情報システムへのアクセス制御による保護不正アクセス、情報漏洩対策
・多層防御(ウイルス対策、不正アプリ駆除、セキュリティパッチ適用)
・関連ログの分析
効果のあるウイルス対策ソフト
UTM(Unified Threat Management:統合脅威管理)とは、ファイアウォールやアンチウィルス、IPS/IDS、URLフィルタリング、アプリケーション制御など、複数のセキュリティ機能を1台のハードウェアに統合したセキュリティゲートウェイ製品だ。最近は、次世代ファイアウォールと呼ばれるケースも多い。標的型攻撃対策という観点でFirebox Mシリーズを見たとき、最も大きな特徴の1つとして挙げられるのは、クラウド型サンドボックス「WatchGuard APTBlocker」の存在だ。
標的型攻撃対策では前述の通り、多層防御が大切だが、なかでも重要なのは「ゼロデイマルウェア」への対策である。ゼロデイマルウェアとは、未知のマルウェアのこと。一般的なシグネチャベースのアンチウィルスで検知できるのは既知のウィルスのみ。ゼロデイマルウェアを検知することはきない。標的型攻撃対策を困難にしている大きな要因の1つが、ゼロデイマルウェアなのである。
このゼロデイマルウェアを検知・ブロックできるソリューションとして近年、導入企業が急速に拡大しているのが、サンドボックスといわれるソリューションだ。未知のプログラムを隔離された仮想環境上で実行し、その実際の挙動を確認することで、マルウェアかどうかを判定するのがサンドボックスである。
次世代型サンドボックスであるAPTBlockerだ。「APTBlockerは、従来
型サンドボックスとは違い、CPUレベルの命令コードまで可視化できるので、こうした回避行動
も検知できます」という。