企業が行うマイナンバーの守り方とは?

マイナンバーは個人だけでなく企業にも割り当てられます。つまり、企業は自社のナンバーだけでなく従業員のナンバーも守らなければなりません。幾つかの守り方を中心に記事をアップしたので、ぜひ参考にしてください。

企業はマイナンバー制度をどのように考え、どのように対応していけばいいのか?

業務プロセスからしっかりと見直さないと、不適切な取り扱いが起こり得る。単にシステム改修すれば済むというものではない。今後、マイナンバー制度の拡充も予定されており、一度対応したら終わりというものでもない。

 2014年末になって公開された「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を読まれた読者も多いだろう。そこで示された安全管理措置のポイントは大半が、情報システムとして従業員はもちろん、大切な顧客あるいは事業に協力してもらっている個人事業主の情報をどう取り扱うのか、つまり、企業がステークホルダーの情報をどう守るのか、その姿勢や価値観が問われていると言っていいだろう。

「一度対応したら終わりというものではない」という言葉は、そう思っていた私には耳が痛いです。
確かに、これから制度の変更や拡充がある可能性は十分考えられますからね。
(10663)

via how2brainhack.blogspot.jp

こんなマイナンバー管理の仕方は危ない!

USBメモリーで管理する

まさかと思いましたが、真剣に検討されていました。一応それを金庫に保管するそうです。言い分としては「パソコンに入れているとウィルス等が心配だ」ということでした。

確かに、単純に担当者のネットワークにつながっているPCに入れておくのは危険ですが、かといってUSBメモリーでは、ネットワークの危険以上に、物理的なセキュリティー面でとっても危険だと思います。

USBメモリーに入れて金庫に保管するというのは、やはり物理的なセキュリティを考える必要が出てきます。当然外部からの侵入もそうですが、ちょっと言いずらいですが社内のからの盗難についても注意が必要です。

余談ですが、世の中の多くの漏えい事件は社内、関係者、つまり身内が多いのです。社内の身内に対して「そんなことをしないだろう」と思うのは勝手ですが、「そんなことしよう」とはじめからから思わせないことがセキュリティーを考えるうえでとても大切です。きちんと考えることで、身内から犯罪者を出さずに済むわけですから是非きちんと考えてください。
具体的に、USBメモリーを金庫で保管の場合ですと、思いつくところで二つの設備追加を検討する必要があると思います。

金庫の保管してある部屋への入り口に「入退室の管理ができるカードロック」の設置と監視カメラです。

会社の規模にもよりますが、このくらいのことは考える必要があるともおもいますが、お勧めできないですね。

「金庫に入れておけば安心」というのもまだまだ甘いということですね。
カードロックに監視カメラと、何かと出費が嵩みそうです。
(10659)

via bsoza.com

内部からの情報漏えいを防ぐ!

内部犯行対策の一つとして紹介した「DLP(Data Loss Prevention)」は、エンドポイントのPCやネットワークを流れるデータをモニタリングし、「個人情報」や「機密情報」に該当するデータがメールで送信されたり、オンラインストレージにアップロードされようとすると、ユーザーに警告を表示したり、その処理をブロックしたりします。故意の持ち出しはもちろん、うっかりミスによる流出も検出する仕組みです。マカフィーでは、「McAfee DLP Endpoint」に、12桁の数字からなるマイナンバーデータのフォーマットを検出できるテンプレートも用意しています。

また、設定されたルールに違反するアクションを各ユーザーが実行した場合、その情報がイベントとして管理サーバに記録されますので、管理者はどのユーザーがいつ、どのアクションを、どのデータに対して実行したのかを確認することができます。

しかし、残念ながらセキュリティの世界に絶対はあり得ません。新たなデバイスやサービスの登場に伴って「出口」「裏口」ができてしまう可能性は十分にありますし、実務の都合上、ルールに何らかの例外が生じ、そこが糸口となってデータが流出するリスクもゼロとは言えません。

そこでご提案したいのが、DLPと暗号化の組み合わせです。マイナンバーを含むファイル、あるいはデータを扱うPCのハードディスク全体を暗号化することによって、万一データが外部に流出したり、PC本体を紛失するような事態が発生しても、元のデータに戻すことはできなくなります。データが第三者の手に渡って悪用されるという最悪の事態までは免れることができるでしょう。

故意の持ち出しだけでなく、ミスによる流出も検知してくれるシステムとはすごいですね。
これだけ素晴らしいシステムでも「セキュリティの世界に絶対はあり得ません」と警告しているのですから、マイナンバーを管理する人は気持ちを引き締めて管理していかなければなりません。
(10655)

via www.jpcert.or.jp

マイナンバー情報を狙う標的型サイバー攻撃への対策

9割守るのはカンタン
サイバー攻撃なんか恐くない
 
ウイルスの侵入を100%防ぐ方法はない。侵入を許しても重大な被害を引き起こさない対策を考えるべきだ。9割の対策を積み重ねてサイバー攻撃を防ごう。

偽のウイルスで対策意識を喚起

「標的型攻撃訓練」を検証する
「標的型攻撃」の対策として注目されているのが、従業員に対する「訓練」。偽のウイルスメールを送信して攻撃を体験させることで、セキュリティ意識を向上させる。

実践!サイバー攻撃緊急対応
~あのとき、私はこう判断した
 
重大なセキュリティインシデントに直面した当事者に直接話を聞き、誌面上で対応を疑似体験できるようにした。今後のインシデント対応を考える一助にしてほしい。

これは言わば「避難訓練」みたいなものですね。

セキュリティーシステムの見直しをする前と後に行って、結果を比較するのが効果的かもしれません。

(10667)

via www.dinf.ne.jp

どんな企業が狙われやすいのか?

オンラインバンキング取引を行っている地方の中小企業や、Webサイト持っている企業などが特に狙われやすいそうですが、今時ほとんどの企業がWebサイト持っていると思われるので、かなり多くの企業が狙われるということになります。

自社のセキュリティシステムが貧弱だと感じたら、最新のシステム導入を新たに考えたほうがいいと思います。

(10670)

via switch-box.net

政府サイトではセミナー開催が告知されています。

来年、平成27年10月以降、マイナンバーが市区町村から全国民に通知され、平成28年1月から国や地方公共団体等において、社会保障・税・災害対策の分野で利用されます。企業においては、税金、社会保険料の支払いや事務手続き等でマイナンバーの取り扱いが必要となります。
 それまでに何をどのように準備すべきなのか、担当官庁である内閣府番号制度担当室から制度全般についての説明と、特定個人情報保護委員会事務局から「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の留意点についてご説明いただき、各企業のシステム改修や安全管理措置等への知識を得ていただきます
ただ、人気があるためすぐに定員に達してしまうのが難点です。
参加したい人は、今後のセミナー情報を逐一チェックしておく必要があります。