気をつけたい情報漏えい！実は内部情報漏えいが多いんです！マイナンバー対応で求められる管理責任！

社会に最も大きなインパクトを与えたのは、2014年7月に明るみに出た通信教育大手企業における情報漏洩事件だろう。

この事件では、顧客データベースの管理を委託されていた外部業者の派遣社員が、約1年間に渡って顧客情報を外に持ち出して名簿業者に販売していた。流出した個人情報は約4800万件にのぼり、「国内で過去最大規模の個人情報流出事件」と呼ばれている。内部犯行による情報漏洩の危険性を如実に示したものといえるだろう。

情報漏洩の件数だけに着目すれば、ミスや不注意に起因する事件の比率が多い。しかし、ひとたび事件が発生した際のインパクトで見れば、内部犯行に起因する漏洩の影響は非常に大きい。

例えば、日本ネットワークセキュリティ協会は「2013年 情報セキュリティインシデントに関する 調査報告書 ~個人情報漏えい編~」の中で、「『内部犯罪・内部不正行為』は（中略）『管理ミス』や『誤操作』に比べて、一件あたりの漏えい人数が多い」と指摘し、その対策を「優先順位を上げて検討しておく必要があると考えられる」と述べている。

過去の情報漏えい事件を振り返ってみると、大きく「外部からの不正アクセスによるもの」と「内部関係者の犯行によるもの」の二つに大別できます。

情報漏えい対策というと、つい外部からの攻撃ばかりに意識が向きがちですが、実際には、後者の内部犯行による情報漏えいが非常に多いのです。2014年に世間を大きく騒がせた、大手教育関連企業における情報漏えい事件もその一つですね。こうした事実を考えると、まずは内部犯行対策が非常に重要となることがお分かりいただけるかと思います。

企業にとって情報漏えいは重大な経営リスクの1つであり、様々な対策手段も提供されているが、まず社内にどのような情報資産が存在しているのかを確実に把握し、情報資産の重要度などに応じて適切な保護を講じることが優先される。

だが、社内に散在した情報資産は、把握するだけでも手間のかかる作業だ。

情報漏えいのリスクに関わる「電子媒体等を持ち出す場合」や「情報漏洩等の防止」では具体的にデータや通信経路における暗号化、パスワードで保護可能なツールの使用が推奨されている。また、「アクセス制御」としては個人番号と紐付けてアクセスできる情報の範囲やマイナンバーを扱う情報システム自体へのアクセスを限定したり、システムの利用を「事務取扱担当者」に制限したりするなどの方法が挙げられている。

権限のない人がアクセスできないようにする事と操作履歴の取得、持ち出し制御が重要です

特定個人情報は、不正に扱われた際のリスクが高い情報のため、従業員から個人番号を預かる「取得」から、従業員の退職時に保管していた個人番号を削除する「廃棄」まで適正な取扱が必要です。特に保管、利用、提供のフローで情報漏えいリスクが高まります。

マイナンバーを含む個人情報を漏洩させてしまうと、漏洩者はもちろん、それを監督する企業にも法律による罰則が科せられる場合があります。このような不祥事は企業のブランドイメージを大きく損ない、企業、経営側の責任問題が追及され、ビジネスに深刻な悪影響を及ぼす恐れがあります。このようなリスクに対応するため、企業はマイナンバー法とその取扱いガイドラインを守る必要があります。

近年では、多様化・巧妙化するサイバー攻撃や内部不正による情報漏えい事件が続発しており、企業・組織に相応のダメージを与えている。最近もマイナンバーに深くかかわる行政機関が、重要な個人情報を大量に流出させるという事件を引き起こした。

そうしたことから、企業・組織はもとより、広く世間一般も、個人情報のセキュリティーに対してさらに敏感になっており、マイナンバーに関しても、生活者の多くが、マイナンバーの流出・不正利用に対する懸念を示している。