マイナンバーで一番気になる所は、なんと言ってもセキュリティの問題です。自分を守る、自分の会社を守るにも今以上にセキュリティを強化しなければいけません。
マイナンバーとは?
住民票を有する全ての人に配布される12桁の番号であり、制度開始時は「税」「社会保障」「災害」分野における活用が予定されています。将来的には、「戸籍」「旅券」「預貯金」等における活用も検討されています。
マイナンバーはその数字情報だけで個人を特定できてしまう。
漏れなく必ず番号が存在(本人が存在)する。マイナンバーは住民票コードと似ているように思いがちだが、住民票コードは企業内システムで管理すべきものではないため、マイナンバーとはその性格が全く異なる。つまりマイナンバーは、様々な個人情報と呼ばれる「項目」の中で最も重要な「個人情報」というわけだ。マイナンバーは今まで存在しなかった“新しい情報”となるため、既存システムでの取り扱いは「追加情報」として認識されることになる。上述のように極めて重要な情報ではあるが、システムからみれば「追加情報」の1つに過ぎない。そういう状況になるのはやむを得ないが、セキュリティを考えれば、この追加情報ではアクセスコントロールが大切であり、十分な検証が必要となる。
「外部からの攻撃リスク」と「内部からの情報漏えいリスク」
マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。
内部からの漏えい対策
■必要となる対策
・USBメモリやスマートフォンなどのデバイス接続制御
・ネットワーク制御
・不正サイトへのアクセス遮断
・SNS/掲示板の書き込みブロック
・Webメール対策
添付ファイルチェック
サイバー攻撃による漏えい対策
■必要となる対策
・不正アクセス・サイバー攻撃対策
・サーバ変更監視(改ざん検知)
・セキュリティログ監視
・公開サーバ脆弱性対策
・ネットワーク監視
・標的型メール攻撃対策
マイナンバーが流出した際の罰則
今回導入されるマイナンバー制度の罰則の中でも一番厳しいのが、故意に漏えいした場合。この場合は4年以下の懲役もしくは200万円以下の罰金が科されます。また、管理監督責任体制に問題があった場合には、特定個人情報保護委員会が業務改善に関する勧告や命令を行います。 この命令に従わないと、情報漏えいが起こっていなくても、2年以下の懲役もしくは50万円以下の罰金が科されます。 こういったことが起こらないよう、今からセキュリティ対策を行っておく必要があります。
情報漏えいをはじめとする情報セキュリティ事故
業務停止や情報の紛失などの直接的な被害だけでなく、損害賠償問題などを引き起こし、組織の社会的信用を失墜させるなど、間接的な被害ももたらします。たった一度の事故が、組織の存続を脅かすことも珍しくありません。標的型攻撃や内部からの不正アクセスなど情報セキュリティの脅威が多様化するなか、2016年1月の社会保障・税番号制度(マイナンバー)施行に伴う特定個人情報など、組織が保有する重要な情報も多岐にわたり、セキュリティ対策の重要性が高まっています。
マイナンバー対応の4大要素
①規定を作る ・・・・マイナンバーの取扱いとセキュリティルールを決めて運用
②隔離する ・・・・マイナンバーの取扱区域、システム、担当者を一般から分離
③要塞化する ・・・・システムを論理的に防御 - (侵入できない、漏洩しない)
④見張る ・・・・運用状況確認やシステム監視で不正使用や情報漏えいを防止
【要塞化】と【見張り】は、セキュリティプロダクトの導入が、 マイナンバー制度対応に有効です。
【要塞化】
論理的に他のシステムから侵入できないよう防御します。
ガイドラインでは、特定個人情報ファイルを取り扱う情報システムを管理する区域を「管理区域」としています。【見張り】
管理区域で特定個人情報の取扱いが適正に実施されているかどうか監視します。
ガイドラインでは、特定個人情報ファイルを取り扱う情報システムを管理する区域を「管理区域」としています。
マイナンバーのセキュリティ対策の6つのポイント
1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。 また、USBなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。 またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。