平成27年10月に通知され、2016年1月1日からいよいよ実施されるマイナンバー。導入される前から不安視されているセキュリティ対策。どのようにしてセキュリティを徹底したらよいのでしょうか?
重要な個人情報を扱うからこそ、政府はもちろん、企業にも高いセキュリティ対策が求められています。
情報漏洩で信用を失ってしまわないために、どのように対策したらよいのでしょうか?
そもそも、「マイナンバー」って何?
マイナンバーは、住民票を有する全ての方に1人1つの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用されるものです。
1.行政の効率化
行政機関や地方公共団体などで、様々な情報の照合、転記、入力などに要している時間や労力が大幅に削減されます。複数の業務の間での連携が進み、作業の重複などの無駄が削減されます。2.国民の利便性の向上
添付書類の削減など、行政手続が簡素化され、国民の負担が軽減されます。 また、行政機関が持っている自分の情報を確認したり、行政機関から様々なサービスのお知らせを受け取ることができます。3.公平・公正な社会の実現
所得や他の行政サービスの受給状況を把握しやすくなるため、負担を不当に免れることや給付を不正に受けることを防止するとともに、本当に困っている方にきめ細かな支援を行うことができます。
しかし、2016年1月の導入に向けて企業への負担も増えてしまいます。
便利だけど、企業の負担が増える
1社当たりの負担額は約109万円と推測される。また、従業員数増加でその負担は増加し、1000人以上の企業では約581万円の負担が想定されている。
企業にとって負担が純粋に増える制度といえます。
帳票を扱う総務・経理部門だけでなく、システム部門やコンプライアンスに関わる部門など、幅広い部門に影響が及ぶことが想定されます。
企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。
海外で相次ぐ情報漏洩
その被害額は3年で兆を超えています。
社会保障番号は公的機関でも民間でも幅広く利用されているため、これを盗み出せば、様々な申請が他人名義で可能になってしまう。銀行やクレジットカードなどの金融機関はもちろん、携帯電話や電気、ガス、運転免許、就職、大学の学生番号などの会員番号と結び付けられている。司法省の統計によると2006~08年のなりすまし被害は、実に約1,170万件。被害額は約173億ドル、つまり日本円に換算して約2兆700億円という、とてつもない被害が出ている。
■2008年/企業のオークションサイトから会員1860万人の住民登録番号、名前、住所などがハッキングにより流出。■2010年/中国人ハッカーがショッピングサイト7か所の会員情報650万人分を不正に入手し逮捕される。他にも25のサイトから住民登録番号を含む個人情報2000万件を流出させていたことが判明。
■2010年/クレジットカード会社「現代キャピタル」の会員情報から住民登録番号など175万人分を盗んだハッカーが、会社を脅迫して1億ウォンを要求。
■2011年/ポータルサイト「ネイト」と「サイワールド」から3500万人の住民登録番号などの個人情報が盗まれる。
■2014年/大手クレジットカード3社(KB国民カード、NH農協カード、ロッテカード)からのべ約1億400万人分の住民登録番号などが流出。下請け会社の社員がUSBメモリーにコピーして持ち出し、一部を売りさばいていた。
それでも極力情報漏洩を避けるには徹底的なセキュリティ対策が求められます。
企業に求められるセキュリティ対策
・アクセス制御
情報システムを使用して個人番号関係事務や個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。・アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。・外部からの不正アクセス等の防止
外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを情報システムに導入し、適切に運用する。・情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
情報管理の問題に関しては、新しく「管理区域」と「取扱区域」という概念が生まれ、区域による管理の方策を講じるよう明示されています。「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域で、サーバールームのような場所です。
もう一方の「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域で、総務部や経理部などの一般的な事務オフィスのような場所をいいます。これまでの情報管理は主に「管理区域」で厳格に実施されていましたが、マイナンバー法の下では、「取扱区域」においても物理的な安全管理の措置を講じなければならないとされています。
たとえば、壁や間仕切り等の設置や座席配置の工夫を行うといったことで、座席配置工夫の例を挙げると、事務取り扱い担当者以外の往来が少ない場所の座席配置や、後ろからのぞき見される可能性が少ない場所への座席移動等が考えられます。物理的な部分でも配慮が必要なのです。
マイナンバー法では、個人番号の記載されている書類とデータは廃棄および削除が義務化されています。企業が個人番号を保管してよいとされるのは行政に書類を提出するために必要な場面だけですから、役所に提出する事務を行う必要がなくなり、かつ保管の義務期間を過ぎた時点で廃棄しなければなりません。たとえば、「給与所得者の扶養控除等(異動)申告書」の保管期間は7年間ですから、7年経ったらそのまま保管し続けておくことはできなくなります。データベースに入っている個人データも削除しなければなりません。書類のデータを廃棄する規定を設けている企業は多くなく、まだ書類廃棄のルール化がなされていない企業は、新しく廃棄の仕組み作りに着手する必要があります。たとえば、総務部長が年に一度、12月に保管書類の洗い出しを行い、退職後7年経った従業員の書類を一括破棄し、保存データを削除するなどの規程を定めるということです。
さらに、削除または廃棄した記録を保存することが義務化されていることも重要なポイントです。どのデータ、どの書類を削除もしくは破棄したのかを記録として残しておかなければならないという決まりになっています。書類の破棄やデータの削除を第三者に委託した場合は、委託先から破棄または削除した証明書を提出させる必要があります。
対策万全のはずが導入してから不備が見つかる可能性もあります。常に新しい情報を取り入れ、最新のセキュリティ対策を行い漏洩を防いでいきましょうj。
特に重大な個人情報が詰まっているマイナンバー。漏洩して企業の信用を急降下させないようにしたいですね。