マイナンバー2015

年金機構の漏えい事件は対岸の火事ではない

日本年金機構の情報漏えい事件は、対岸の火事ではない。明らかになった数々の管理体制の不備は、マイナンバー制度で危ないとされる企業のリスクと同じだからだ。

» 2015年06月05日 08時00分 公開
[岩城俊介ITmedia]

 日本年金機構の個人情報漏えい事件は、対岸の火事ではない。

 流出した可能性のある情報は、基礎年金番号と氏名の組み合わせ約3万1000件と、基礎年金番号・氏名・生年月日の組み合わせ約116万7000件、基礎年金番号・氏名・生年月日・住所の組み合わせ約5万2000件の計約125万件。外部から職員の端末に届いたメールにウイルス入りファイルが添付されており、そのファイルを開封したことで不正アクセスが行われ、情報が流出した。

 日本年金機構は2016年1月に始まるマイナンバー制度のシステムと接続され、年金に関する情報を管理する。「マイナンバーは大丈夫か」。国民全員に割り当てられる固有の個人番号(マイナンバー)を含む個人情報「特定個人情報」の安全性に対し、国民の不安が改めて強い疑惑・疑念・憤りとして表れた。

photo 日本年金機構の年金Q&Aページ「個人情報の漏えいが心配ですが」では、回答が「役に立たなかった」と投票する人が続出している

 マイナンバー制度を担当する甘利明社会保障・税一体改革担当相は6月2日に会見を開き「マイナンバー制度開始の変更予定はない。マイナンバーシステムは厳重なファイアウォールで隔離されている。今回の事案を検証し、絶対にこういう事案が起こらないよう対処していく」と述べ、分散管理するマイナンバーシステムそのものの安全性は強調しながらも、それ以外の人的・周辺リスクへの対策と徹底を要する考えを示した。

 事件は個人情報保護管理体制の不備が重なり、起こった。

  1. 職員宛に業務連絡を装った標的型メールが送られた
  2. それを開いて感染し、ネットワークに蔓延した
  3. 職員は個人情報ファイルを禁止されている(職員ならばアクセスが容易な)共有サーバに置いていた
  4. 個人情報ファイルを暗号化(パスワード設定)していなかった
  5. チェック体制がなく禁止項目が職員に徹底されていなかった

 などだ。

年金機構の不備は、マイナンバー制度で“危ない”項目と同じ

 この不備と事象は、マイナンバー制度で企業に起こりえるリスクとほとんど同じだ。

 マイナンバー制度は、特定個人情報の適切な管理(収集、管理、利用、提供、廃棄)を、端的には利用目的を超えた利用を禁止し、漏えいさせない厳重な安全管理処置をすべての事業者に法として求めている。省庁各所へ各種帳票や届出を提出する前段階として、従業員や取引関係者のマイナンバーを収集し、管理し、提出する帳票類へ記載し、廃棄するまで各企業は特定個人情報を保有する。原則としてすべての企業は特定個人情報を取り扱う。従業員が違反行為を犯したら、その行為者だけでなく、法人にも罰則が科せられる。

 (1)と(2)は、手口がいっそう巧妙化する高度標的型メールによる脅威だ。防ぐのは難しいが、“甘くて、おいしい”から狙われる。マイナンバー対応の以前に、セキュリティ対策ソフトやソフトウェア更新、リスク認知への教育や通知といった最低限のことは徹底させなければならない。システムとしても、仮に攻撃を受けても認知し、防御する、多重防御化する、被害を最小限に食い止めるといった、これまでやってきたセキュリティ対策をいま一度見直し、高度化することも必要だ。

 (3)と(4)は、マイナンバー制度でそのまま自社にも起こり得る脅威だ。そうならないために最低限何をすべきかを考えると分かりやすい。安全管理処置の方法はいくつかあるが、今回を不備をふまえると、マイナンバー対応において「取り扱う者や端末を限定」し、「必要以外は触らせず、他へ保存させず」、データは管理区域へ「暗号化」して保管する対策が少なくとも必要である。

 人的ミスや外部の脅威を考慮すると「出さない」を100%防ぐのは難しい。ファイルの暗号化は最低条件としつつ、出てからも対処できるリモート消去ソリューション、従業員がPCに特定個人情報を“持ってしまっていないか”を監査するソリューションなどの応用も対策案の1つに挙がる。収集依頼があったためにスキャンや一次メモをした従業員個人PCの中、なども落とし穴だ。

 (5)については、制度対応を会社の重要項目にとらえ、リーダーシップを持って実践する社内体制を構築すること。万一時に備えた体制や手順も整備すること。そして「従業員へマイナンバー制度を理解させる」「マイナンバー制度で改定した社内規程を再度周知させる」などの説明と徹底が必要と改めて知らせてくれた。

photo 企業が行う「安全管理処置」の4項目(出典:内閣官房「マイナンバー概要資料」


 日本年金機構は職員の意識と管理体制、両方の甘さが不備を重ね、漏えい事件を招いた。マイナンバー制度は、それがこのまま自社のリスクにもなる。制度開始まで残り半年、あなたの会社が第二の日本年金機構にならないよう、事件を教訓にいま一度対策を見直し、マイナンバー対応の準備を進めてほしい。


マイナンバー制度とは

 マイナンバー制度は、2013年5月24日に成立した「マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)」によって、複数の機関に存在する個人の情報が「同一の人の情報である」ことの確認を行うための基盤である。2016年1月に開始する。

 国民一人ひとりに固有の12ケタの番号の「マイナンバー」を割り当て、それに基づき国民の生活や収入など各自の事情に応じた行政サービスの迅速化を図る目的で導入される。主に(当初は)、社会保障制度(年金、医療、介護、福祉、労働保険)、税制(国税、地方税)、災害対策に関する分野に使われる。2015年10月5日よりマイナンバーが付番された通知カードが国民一人ひとりに届き、個々の申請手続きによって個人番号カードが交付される。

 利用機関は行政機関や自治体などだが、社会保障や税に関する帳票や届出への記載に必要な従業員のマイナンバー収集や以後の管理は個々の民間企業、ないしその委託先が担う。例えば、税分野では、税務当局へ申告する各企業が番号の収集と管理を行い、給与所得の源泉徴収票などさまざまな帳票へ記載する対応が必要となる。基本的には、すべての民間企業や団体が当てはまるものとなる。

 マイナンバーを含めた個人情報は「特定個人情報」と定義され、取り扱いが厳格に規定される。これまでの個人情報保護法では対象外(5000件以下)の事業者であっても、それを1件でも取り扱うならばマイナンバー法における「個人番号関係事務実施者」となり、規制の対象になる。罰則も個人情報保護法より種類が多く、法定刑も重くなっている。一例として、正当な理由なく業務で取り扱う特定個人情報を提供した場合「4年以下の懲役または200万円以下の罰金」が科せられることがある。

 マイナンバーの取り扱いにおいて民間企業は「必要な範囲を超えて扱わない」「情報漏えいしないよう安全に管理する」「取り扱う従業者を教育、監督する」「委託先を監督する」などの義務や責務を負う。具体的にはマイナンバー制度の開始までに、マイナンバーの収集において厳格な本人確認を行うシステム、情報漏えい防止のための安全管理処置を講じること、そのための社内ITシステム改修やポリシーの制定、改訂を行っていく必要がある。データ保護の方法については、例えば「データの暗号化」や「パスワード保護」、そして「暗号鍵やパスワードの適切な管理」を行うようガイドラインで示されている。

 マイナンバー関連業務をアウトソースするにも、その委託先(その委託先の委託先も含めて)が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。




「マイナンバー」番号法・企業の対応と注意点のバックナンバー



特集まとめ読み特別冊子 プレゼント応募フォーム

特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。


<<< 応募はこちらから


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ