マイナンバーのセキュリティー対策

マイナンバーを取りあつかう上でどのように管理すればよいのか、セキュリティーはどうすべきかをまとめました。

マイナンバーのセキュリティー面はどうなってるの?

住民票記載の個人情報、年金の納付・受給記録、

健康保険の履歴、所得や納税額といったそれぞれの情報は、

あくまでその情報を管理する官公庁が管理し、データベースが一元化されるわけではない。

「個人情報がひとつのデータベースで管理されることは一切ない。

また役所間のやりとりにはシステム内でのみ突き合わせが可能な暗号化された番号を用いるので、

万が一、1カ所で情報漏えいがあったとしても役所間では遮断される。マイナンバーから芋づる式に個人情報が抜き出せるということはない」(向井氏)

全ての人の個人情報データがたった1か所に集められるわけではないんですね。ちょっと安心。

しかし、1か所で情報漏えいがあったとしても、どこかでストップがかかることは分かりましたが、

だからといって企業はマイナンバーのセキュリティーを甘く見ていてはいけないと思います。

マイナンバー対応についてのガイドラインが、2014年12月に国より正式発表されました。

 (23104)
このガイドラインに準じたマイナンバー取り扱いへの対策が企業にも求められています。

組織監査体制・セキュリティー対策・利用者への教育が必要

平成28年1月1日からスタートするマイナンバー制度ですが、とくにその情報を取り扱う企業側には厳しいセキュリティー管理が求められます。

マイナンバーは、個人の情報がつまったものになるので、情報漏洩は厳禁。

ではマイナンバーの管理を求められる企業は、どのようにセキュリティー対策をすればいいのでしょうか?

ほとんどの情報漏洩は内部から

以下引用文はセキュリティー会社セコムの調べたデータです。
情報漏洩の80%は内部原因

「情報漏洩の約8割は内部犯によるもの」そんな言葉を耳にしたことのある方は多いのではないでしょうか。

事実、多発する情報漏洩事件における原因の多くは、ハッキングなどの外部要因ではなく、内部の人間による盗難、流出など内部要因が多くを占めているのです。

 (23103)

マイナンバーのアクセスログの取り扱い

すべての企業は「暗号化等による情報持ち出しの際の漏洩防止」「アクセス制御」「外部からの不正アクセス等の防止」といったセキュリティ要件に対応する必要があるとしています。

マイナンバーが含まれるあらゆる情報に対して、「いつ」「誰が」「どの情報に対して」「どんな操作を行ったか」という履歴を取る必要がある。

アクセスログとは、「いつ誰がどの情報にどんな操作を行ったか」の履歴のことなんですね。
ファイルへのアクセス履歴をログとして残す機能は、多くの業務用パソコンアプリにすでに備わっているそうですよ。

たとえば、文書管理システムや、グループウェアなどです。

Googleドライブなんかにも作業履歴って残りますよね。

そういうツールを使えば、マイナンバーのログ管理も大丈夫なんじゃないんでしょうか???
残念ながら、それは「NO」です。というのは、マイナンバー対応で求められるログ管理の機能は、単にファイルのアクセス履歴を残すだけでは不十分なのです。

たとえ正規のアクセス権限を持ったユーザーによるアクセスであっても、そのファイルが特定個人情報に該当する場合、ファイルの複製や印刷といった操作には制限を掛ける必要があるかもしれません。

こうしたきめ細かな監視は、一般的な業務アプリケーションのログ機能ではカバーしていないことがほとんどです。

アクセス権限のあるユーザーでもマイナンバーの記入された表を複製したり印刷できないようにせいげんするんですね。

結構細かくて大変な制御システムが必要ですね。

 (23111)

アクセスログの制御

特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、USBなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

パソコンのウイルス対策

マイナンバー情報は、パソコンへの不正アクセスによって読みとられる危険もあります。

パソコンはウイルス対策をきちんと行い、またOSは常に最新のものにアップデートしておきましょう。

またスパムメールは決して開かないようにしましょう。

パソコンがウイルス感染してしまうと、マイナンバーに関するデータが読みとられてしまう可能性があります。
ソフトウェアの更新は、脆弱性(ぜいじゃくせい)をなくすためにとても重要です。
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。

脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

このような脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。

しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状です。

脆弱性には、いくつかの種類があります。

 (23093)
パソコン内のマイナンバーに関するデータを守るために、ソフトウェアの更新をしましょう!!

パソコンを外部へ持ち出さない

 (23092)
昔実際に起きた事件ですが、学校の教員が、生徒の成績データの詰まったパソコンを自宅へ持ち帰って仕事をしていたら、そのパソコンを車内に置き忘れてしまいそのまま車上荒らしの被害にあって、生徒のデータを紛失したということがありました。

会社の機密情報が入ったパソコンを社外に持ち出しOKにしているとこういった盗難被害にあいかねません。

マイナンバーについても同様です。パソコンの取り扱いは徹底し、社員が無断でノートパソコンなどを持ち出せないよう大切なデータへの監視体制をつくりましょう。

まとめ

マイナンバーのセキュリティー対策についてまとめると、社内、社外からの漏洩を防ぐために
・ログ制御と、ログ管理を徹底すること
・パソコンのウイルス対策をすること
・パソコン本体の管理もきちんとする事
の3つでした。

マイナンバーの情報が漏えいすると、国から厳しい罰則がありますので、企業のみなさんはセキュリティー対策を怠らないようにしましょう。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする