マイナンバーで最も心配されることの1つに「情報漏れ」があります。サイバー攻撃も大胆かつ巧妙になってしまっている今、マイナンバーの情報漏れを防ぐために企業も必死の努力が必要です。しかし、万が一、会社が情報漏れを起こしてしまった場合、どのような対応をすればよいのでしょうか?
マイナンバーは常に情報漏れが懸念されている
実施した世論調査では、マイナンバー制度での個人情報の扱いで最も不安に思うことは「情報漏えいやプライバシー侵害」が32・6%、「不正利用による被害」が32・3%と上位を占めた。
「マイナンバー制度」では、さまざまな個人情報がマイナンバーと結び付けられて管理されることから、サイバー攻撃などを受けた際に多くの個人情報が流出するのではないかという懸念があります。
Yahoo!JAPANの意識調査では、「あなたはマイナンバーに情報流出の不安を感じますか」との質問に対して、81%もの人が「大きな不安を感じる」と答えており、国民の間に不安感が広がっていることが見て取れます。
マイナンバーの情報漏れには厳しい罰則も
マイナンバーでは、制度・システムの両面からさまざまな安全管理対策を講じます。加えて、マイナンバーの取扱いに関する監視監督は、第三者委員会である特定個人情報保護委員会が行います。故意にマイナンバー付きの個人情報ファイルを提供した場合などには厳しい罰則も適用されます。
もともと個人情報や住民基本台帳に関する情報漏えいの場合は、おおよそ1件あたり15,000円というのが相場観となっていますが、マイナンバーは現時点でその価値を正確に想定するのは難しい状況です。それでも、所得に関する情報や健康に関する情報が紐づいている番号だけに、前述の相場は大きく崩れる可能性は十分考えられます。
刑事罰という視点では、基本的に不正行為を行った従業員に対してのものになりますが、現状では最高懲役刑として4年が設定されています。
番号法(マイナンバー法)では、罰則が重く設定されています。また、行政の立ち入り検査権もあるため、従来とは比べものにならないほど厳しい内容になっています。
刑事罰が即座に適用されるんですね。4年以下の懲役または200万以下の罰金ですか!かなり厳しいですね。
頻発するサイバー攻撃は大胆かつ巧妙になってきている
不正プログラムの発生数は「激増」の一途をたどっています。発生数の表現も一昔前は「月にX個」といったレベルでしたが、現在では、「1秒につきX個」と表現が変わってきました。それに伴い、対策技術も変化しています。
近年、サイバー攻撃は多様化しています。その手口の多くは、組織内の「人」をねらう悪質なものであり、「組織内の情報を盗み出す」などの明確な狙いをもっています。
大手情報セキュリティ会社のトレンドマイクロによれば、同社が解析を依頼された案件のうち、遠隔操作ウイルスが検知された顧客の割合は2014年10~12月時点では54.2%に達した。半分以上が汚染されていたのだ。2013年7~9月には4.2%だったのと比較すると、いかに急増したかが分かる。
独立行政法人情報処理推進機構(IPA)では、APTを「脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗な攻撃」と表現しています。すべてのAPT攻撃が高度な技術や複雑な攻撃手段を駆使するわけではなく、むしろ多くは既存の攻撃を組み合わせたものです。
企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。
どんなに慎重に取り扱っていても、個人情報漏えいを100%防げるわけではありません。特に、内部の者が悪意を持って漏えいするようなケースを完全に予防するのは難しいでしょう。
会社でマイナンバーに関する情報が漏れた場合、どうすればいいのか?
![[フリーイラスト素材] イラスト, ビジネス, ビジネスマン / サラリーマン, 人物 (シルエット), 人物, 走る, 都市 / 街, 職業, AI ID:201412270500 - GATAG|フリーイラスト素材集 (12269)](https://mynumber-univ.com/images/item_images/images/000/012/269/medium/23fe5e7a-3496-4a26-94f4-1a237c998e0f.jpg)
特定個人情報の漏えい、マイナンバー法に違反する恐れがある場合には、速やかに上司や責任者に報告しましょう。そして、それ以上にマイナンバーの漏えいがないように努め、事実関係を調べて原因をはっきりさせて、再発を防止するようにしてください。
マイナンバーが漏えいしてしまった場合、消費者庁では以下のような対応を想定しています。事実調査、原因の究明→いつ、何が、どのくらいなど、漏えいの内容を確認してください。
影響範囲の特定→マイナンバーが漏えいしたことで、影響を与える範囲と内容にどのようなものがあるのか調べてください。
再発防止策の検討・実施→原因などの調査結果から、マイナンバーがどのようなルートで漏えいしてしまったのかが分かれば、その遮断などをしてください。
影響を受ける可能性のある本人への連絡等
事実関係、再発防止策などの公表
関係大臣・認定個人情報保護団体への報告
(1) 事業者内部における報告、被害の拡大防止 責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。(2) 事実関係の調査、原因の究明 事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合 には、その原因の究明を行う。
(3) 影響範囲の特定 (2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施 (2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り 得る状態に置く。
(6) 事実関係、再発防止策等の公表 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係及び再発防止策等について、速やかに公表する。
企業内部で講ずることが望ましいこと
(1)事業者内部における報告、被害の拡大防止
(2)事実関係の調査、原因の究明
(3)影響範囲の特定
(4)再発防止策の検討・実施
(5)影響を受ける可能性のある本人への連絡等
(6)事実関係、再発防止策等の公表2.主務大臣・特定個人情報保護委員会への報告
速やかに、誠実に対応できなければ社会的信頼を失う
なぜそのようなことが起こったのか、会社として隠さずに原因を究明し、誠実に公表するといった対応を怠ると、世間からの厳しい目にさらされることになるでしょう。
会社などが顧客の情報を漏洩してしまった場合、迅速かつ的確な対応をすることで、被害の拡大や信頼の失墜をある程度食い止められます。
企業の存続に関わる問題であることを十分認識して、個人情報の保護に努める事が重要です。
しかしながら、こうした民事上の責任を含めた費用・損失よりも、実は、社会的信用の失墜や企業イメージのダウンによる経営上の損失の方が遥かに大きいとも考えられます。
重要顧客との取引の停止・解約や新規取引の締結不可による損失、漏洩事件発生後の販売・売上高の低下の他、社員間に不安や不満が生じたり、士気が低下したりすることなどから生じる損失は、場合によっては企業の存続にかかわる問題にも繋がりかねないからです。
企業では多くのマイナンバー情報を管理することになりますが、危惧されるのは情報漏えいや不正利用の問題です。対策を怠り、マイナンバーを含む個人情報(以下、特定個人情報)の情報漏えいが発生した場合、信用の失墜、企業イメージの低下、損害賠償、マイナンバー法による厳しい刑罰が待っています。
マイナンバーを守るために
毎日のように私たちの個人情報はサイバー攻撃にあっています。しかもサイバー攻撃のような外からの攻撃だけではなく、内部からの情報漏れも考えなければいけません。
考えたくはありませんが、もし自分の会社でマイナンバー情報が漏れてしまった場合は、
それ以上の被害を拡大させないこと
原因究明を行い、速やかに再発防止策を講じて発表しなければいけません。
マイナンバーをちゃんと管理していた!といった責任転嫁ととられる言動は絶対に禁物です。
一度失った社会的信頼を取り戻すには、想像以上に長い時間を費やします。