中小企業が取るべきマイナンバーの漏洩対策

マイナンバーの漏洩対策や、もし漏洩してしまったときの対応方法をまとめました。

もしマイナンバーが漏洩してしまったら

マイナンバー制度が始まると、中小企業側は従業員から税金や社会保険の手続きのためにマイナンバーを収集し、大切に保管する必要があります。マイナンバーの収集対象者は従業員だけではなく、その従業員の家族や不動産などの支払先も含まれます。
企業では多くのマイナンバー情報を管理することになりますが、危惧されるのは情報漏えいや不正利用の問題です。対策を怠り、マイナンバーを含む個人情報(以下、特定個人情報)の情報漏えいが発生した場合、信用の失墜、企業イメージの低下、損害賠償、マイナンバー法(※)による厳しい刑罰が待っています。
例えば、

使用責任者•監督責任の追及、マイナンバー法による厳しい処罰、企業イメージダウン、事業継続への影響

などが一部の例です。

最も重い罰則は「個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供」した場合の「4年以下の懲役若しくは200万円以下の罰金又は併科」。

ほかにもマイナンバー関係事務担当者が自分の利益や他人の利益のためにマイナンバーを漏洩させた場合や、騙したり、暴力を振るってマイナンバーを強奪した場合などにも3年以下の懲役や150万円以下の罰金が待っています。今あげた3つの行為を含む下図の6つの違反行為が社内で起きた場合は、それをした人だけでなく、その管理者にも罰金刑が科せられるので、担当者選びは慎重に行う必要があります。

(13643)

via biz.moneyforward.com
マイナンバーの導入以前の『情報漏洩』は、顧客情報(住所、氏名、電話番号等)が漏れることで、希望しないダイレクトメールやメール、電話等の悪質商法のターゲットになるといったケースが多く、情報漏洩した企業や組織は金券によるお詫びや、情報漏洩対策強化の発表などを行って対策するケースが多くみられました。

マイナンバー施行後は扱うデータの重要性から、単なる個人情報の漏洩事件とは比較にならない程の信用失墜、損害賠償(罰則規定や、情報漏洩したマイナンバーの再発行手続きを利用者が行う必要性があるなど)の高額化、それにともなう業績低迷などのリスクが考えられます。

情報漏えいの2大原因

情報漏えいの原因は、大きく2つに分類できる。1つは誤操作や管理ミス、端末の紛失・置き忘れといったヒューマンエラーに起因するもの。すなわち「過失」によって発生する事故であり、事故件数としても圧倒的に多い。

 もう1つは、不正アクセスや不正な情報持ち出しなど、内部犯罪、不正行為といった「故意」による事件だ。これは件数としては少ないものの、大量の情報漏えいにつながる可能性が高い。例えば、2014年7月に発生した大手通信教育会社の個人情報漏えい事件は、関連会社従業員による不正な持ち出しが原因だった。また、2015年7月に発生したスポーツ団体運営会社の事件では、Webサーバの脆弱性を突いた外部からの不正アクセスにより、クレジットカード情報を含む個人情報が流出した。

マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。

必要かつ適切な監督

事業者はマイナンバー関係事務を第三者の委託事業者に委託することができます。しかし委託したからといって、あとのことは知らぬ存ぜぬというわけにはいきません。委託者は委託先に対して「必要かつ適切な監督」をする義務を負っているからです。具体的には次の3点に注意しなくてはいけません。

1.委託先の適切な選定
2.安全管理措置に関する委託契約の締結
3.委託先における特定個人情報の取扱状況の把握

委託者は、委託先でも自社内で行うべきとされているマイナンバーの適切な取り扱いをする体制が整っているかどうかをあらかじめ確認しなくてはいけない、と言っているのが1。2はあらかじめマイナンバーの取り扱いについて明文化して委託契約を交わしなさい、というものです。3はマイナンバーが適切に取り扱われているかどうかを委託者が委託先に実地調査できるかどうかを確認しなさい、という意味です。3に関しては2の契約締結の時に明文化しておくといいでしょう。

(13649)

via www.lanscope.jp

マイナンバー漏洩の際の対応方法と防ぐための対策

まず、考えるべきことは二次被害やさらなる漏洩の防止です。「本当に漏洩したのか」という事実関係の把握、「どうして漏洩したのか」という原因究明はもちろんですが、漏洩したマイナンバーの本人など影響を受ける人への連絡も必須。他には特定個人情報保護委員会などへの報告も必要です。そしてできるだけ早く再発防止策を考えて、他の従業員などに安心してもらえるように努めましょう。こういった対応についてもマニュアルを作っておけば、もしもの時に後手に回らずに済みます。
さらに心強い味方になるのが、情報漏えい対策製品として、大企業から中堅・中小企業まで幅広く支持されている「FUJITSU Software Systemwalker Desktop Patrol」「FUJITSU Software Systemwalker Desktop Keeper」。これらは構築も容易だ。

PCだけでなくスマートフォンやタブレット、USBメモリなどのデバイスが普及した現在、すべてのデバイスからの情報持ち出しを制御し、不要・不正な操作を未然に防がなければなりません。また、利用者が忘れていた場合でも、自動でセキュリティパッチを適用して対策漏れを防いだり、デバイスの紛失時・廃棄時にデータを確実に消去できる仕組みを用意し、ヒューマンエラーをなくす必要があります。内部犯行を防止し、検知するためには、普段からリスクがある操作の傾向を把握することも大切です。マイナンバーの安全管理を支援する富士通の情報漏えい対策製品は、これらのポイントを実現する機能を搭載しています」(込山氏)

(13653)

via www.itmedia.co.jp