マイナンバーには個人情報がつまっています。なので、大切な情報を狙う犯罪者が増えることが予想されます。マイナンバーを漏洩しないためにもこの機会にきちんと意識改革をおこないましょう。
マイナンバー制度開始に伴って、社員の意識改革教育が必要!!
読者の方々はどの項目が「義務」でどの項目が「任意」なのかをご存知でしょうか?
2 報酬、料金、契約金などの各種支払い調書にマイナンバーを記載する必要がある。
3 従業員だけでなくその家族のマイナンバーも把握する必要がある。
4 政府の「情報提供ネットワーク」に接続できる環境が必須である。
企業年金を自ら運営している大企業については、4も果たすべき義務だといえます。
こういった問いにもすぐ答えられるように意識改革教育が必要です。
情報漏えいの8割は内部から
あるデータによれば、情報漏えいの8割は内部の社員による犯行が原因です。
さらに情報漏えいをした本人の、犯罪意識が薄いのも特徴です。
弊社ホームページで公開している事故報告をご覧頂ければご理解いただけると思いますが、情報漏洩事故の8割は内部犯行によるものです。「内部」とは、正社員や派遣社員、出向社員、アルバイト、パートなどが含まれています。新聞などで公開されている事故報告は、氷山の一角で現実には表になかなか出てこない重大な事故も発生しています。
なぜ表に出てこないのでしょうか? 内部犯行による事件は表沙汰にできないからです。
隠し通せないものがたまに表に出てきますが、その多くは無視できないほどの経済的被害を生じてしまったとか、被害を受けてしまった企業や組織が自己解決できなかったものです。内部犯行には、意思を持って犯行に及んだものと、本人の不注意により事件になったものの2通りがあります。
意思を持った犯行が増えているのは、昔よりも今の方が、盗み出したり捏造したりするコストが低くなっていることが大きいからです。
昔は紙に書かれてコピーも高価なため厳重管理されていました。また、苦労してコピーしたブツを持ち出すのも、リスクを犯して自ら持ち出さなければならなかったし、大量のコピーを持出すことは困難でした。
しかし、今ではフロッピー1枚で手軽に持ち出せてしまうため、より漏洩する側のリスクが低くなっています。
犯罪者にとってマイナンバーには価値がある!!
際のところ、もうすでに個人情報は立派に売り買いの材料=商品になっています。例えば、阪急交通社から漏洩した62万件の顧客データは、名簿屋に数十万円で売却されているし、大手消費者金融「シンキ」の子会社「アルコ」の幹部社員が約7000件の個人信用情報を1件1500円前後で外部に漏洩し、1000万円以上の不正な利益を得ていた事実もあります。
このように、情報漏洩を防止する環境が必要になるのである。意思を持って計画的に犯行に及んだ情報漏洩事故(YahooBB、シンキなどの個人情報漏洩事故)の場合は 漏洩した情報数も大規模なものが一般的であり、個人のニアミス(置き忘れなどにより発生した情報漏洩事故)による事故の場合、漏洩した情報件数も少ないという特徴があります。
第三者的な興味本位の見方では、大規模な漏洩事故が発生すると大騒ぎし、小規模の事故が発生しても見向きもしない傾向にあるが、果たしてその考え方は正しいのでしょうか。
大規模な漏洩事故が発生すると、顧客からの大量の問い合わせが入り、大人数の対策室を設置しなければなりません。該当者への謝罪、記者発表、再発防止策の決定など予想を超える作業が発生するのです
悪意ある漏洩
犯罪者にとってマイナンバーは宝の宝庫といっても過言ではありません。
何とかして情報を手に入れようと
悪意を持って狙っている人もいることを忘れてはなりません。
企業にとって重要な点が「特定個人情報」(12桁の個人番号=マイナンバーそのものと、マイナンバーに紐付けた氏名や従業員番号などの情報)が漏洩した際に、新たな罰則規定が設けられていることです。
2001年に個人情報保護法が制定し、国内でもセキュリティ対策は一斉に強化されてきましたが、マイナンバー制度の施行に伴う特定個人情報の漏洩については、既存の個人情報保護とは次元の違う罰則となっています。
たとえば、もっとも重い刑事罰は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。経営者は正面からこの点を検討しておかないと、特定個人情報の漏洩により、事業継続にも影響が出ることにもなりかねません。
「セキュリティ対策は生産性を生まないコストだから」という言い訳が通用しないマイナンバー制度の施行が目前に迫っているのです。
罰則がどのような際に適用されるかについては、「正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供」「業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供し、または盗用」といったことが明示されていますが、現時点では詳細なガイドラインは公開されていません。
そのうえで、特定個人情報(マイナンバー)を狙う犯罪者の心理や漏洩するロジック、そして今すぐにでも着手すべき対策を紹介してみます。
まず犯罪者が虎視眈々と特定個人情報を狙う背景ですが、昨年発生したベネッセの情報漏洩事故でも知られるように、流出した我々国民の個人情報の多くは“マーケット”で売り買いされているという事実があります。
仮に既に流出している情報と特定個人情報が紐づくと、その情報が一つの完成形となって、家族構成といった完全に個人を特定できるほどの質の高い情報になります。
犯罪者はこれらの情報を活用してピンポイントで狙い撃ちして“オレオレ詐欺”を仕掛けるといったことも容易になります。
いわゆる「悪のマーケティング活動」を仕掛ける上で、かなり精度の高い「仕掛け」が可能になります。
マイナンバー法による罰則
正当な理由なく、特定個人情報ファイルを提供(個人番号利用事務等に従事する者等)
⇒4年以下の懲役若しくは200万円以下の罰金又は併科
職務上知り得た秘密を漏えい又は盗用(委員会の委員など)
⇒2年以下の懲役又は100万円以下の罰金
○委員会の命令に違反(委員会から命令を受けた者)
⇒2年以下の懲役又は50万円以下の罰金
○委員会による検査等に際し、虚偽の報告、虚偽の資料提出をする、検査拒否等(委員会による検査
の対象者)
⇒1年以下の懲役又は50万円以下の罰
情報漏えいの疑いをかけられてしまったら?
企業は自分を守るためにも普段からのセキュリティーに気を配っておくべきです。
マイナンバー法では漏洩に対して厳しい厳罰がありますから
自らの無実と潔白を証明できるようにしておくことはとても大切です。
被害のの大小に関係なくあらゆる企業で対策は必須です。まず行うべきは、犯罪行為の事実を発見し、漏洩していない事を“証明”するという点です。発見する為にはモニタリングを行い、その対象はネットワークインフラで既に稼働している機器群の「ログ(記録)」になります。
端末の操作ログなども重要ですが、それだけでは把握ができない外部犯行による漏洩なども考慮する必要があります。
さらにそのログを踏まえ、漏洩の事実を時系列的にトレースし、捜査機関が理解して納得出来るレベルの証明が求められるでしょう。
ここまで読むと、「外部犯行対策もままならないのに、内部犯行対策まで考慮する事は現実的に不可能ではないか」との声が聞こえてきそうですが、現状のセキュリティ対策の思考ではその通りです。
特定個人情報の保護に関しては、経営陣が先導に立ち、外部犯行と内部犯行の対策を真剣に考えなければ、漏洩による罰則規定に抵触するリスクが高まります。
特定個人情報保護に関しては、情報を取り扱うすべての企業や機関が該当するため、企業規模の大小は関係はありません。マイナンバーを預かるすべての組織が対策を講じることが求められます。
一方で、内部犯行対策を強化することは、必然的に外部犯行(いわゆる標的型攻撃対策)にもきわめて有効に働きます。対策のプロセスさえ間違えなければ、抜本的な対策強化につながります。
マイナンバー制度が始まろうとする今こそ、社内のセキュリティ対策を抜本的に考え直すチャンスだと言えるでしょう。
