マイナンバー制度の情報漏えいリスクを検証する(後編):マイナンバー・企業の対応と注意点(1/2 ページ)
マイナンバー制度において、日本年金機構での情報漏えい事故と同じ事象が発生した場合にどのようなことが起きるでしょうか。懸念されている「マイナンバーの漏えい」と「漏えいによる被害」の2つの可能性について検証します。
想定される2つの懸念を検証
前回の記事では、マイナンバー制度の特定個人情報の保護措置と、日本年金機構での情報漏えい事故で注目される事象を取り上げました。今回は、マイナンバー制度の導入後に今回と同様の事象が発生した場合に想定されている、以下の2つの懸念事項に関して検証します。
検証1・マイナンバーは漏えいするか?
検証2・もしマイナンバーが漏えいした場合に国民が懸念する被害シナリオが発生するか?
検証1・マイナンバーは漏えいするか?
マイナンバー制度導入後に日本年金機構で今回の事故と同様の事象が発生した場合、個人情報とともにマイナンバーも漏えいするのでしょうか。
マイナンバー制度の導入後は、日本年金機構において適切なマイナンバーの利用・管理を実現するため、公的年金事務において特定個人情報保護評価の全項目評価書(以下、「評価書」とする)に記載された安全管理措置を講じることになります。
具体的な内容として、評価書では社会保険オンラインシステムの年金業務システム内に個人番号管理サブシステムを構築し、当該個人番号管理サブシステムでマイナンバーと基礎年金番号の対応関係を管理すると述べられています(図1)。
また、個人番号管理サブシステムは、マイナンバーの登録・管理及びマイナンバーに対応する基礎年金番号の照会回答が主な機能とされており、社会保険オンラインシステム内の他システム(記録管理システム、基礎年金番号管理システム、年金給付システム等)で管理している個人情報とマイナンバーが紐づくものではないとも述べられています(評価書の「III 特定個人情報ファイルの取扱いプロセスにおけるリスク対策」-「3.特定個人情報の使用」-「リスク1:目的を超えた紐付け、事務に必要のない情報との紐付けが行われるリスク」の中で、表1のように述べられています)。
このようにマイナンバーは、個人番号管理サブシステムで局所化して管理し、社会保険オンラインシステム内の他システムからは、予め定められた用途以外でのアクセスは制御され、当然のことながら、記録媒体等へのコピー等の操作にも同様の制限が施されます。さらに、職員が標的型攻撃メールを開封し、日本年金機構内のネットワークに接続する端末にウイルス感染が広がったとしても、社会保険オンラインシステムは当該ネットワークから切り離されているため、ウイルス感染を起こす可能性はほとんどありません。
また、日本年金機構の発表では今回の情報漏えい事故において、ファイル共有サーバにコピーしたファイルの使用例は「拠点レベルでお客様に電話したり通知したりするためのリストを作成する事務」とされており、今回の事務は評価書の「(別添1)事務の内容※1」に示されているマイナンバーを用いる事務「1.個人番号の登録及び収録通知の送付等」「2.個人番号による年金の相談・照会業務」には該当しません。
※1.評価書では、2015年10月〜2016年12月までに発生するマイナンバーを用いる事務を中心に記述されていると見受けられますが、ここでは現時点での評価書の内容に基づき検証をしています。
上記の検証から、マイナンバーの管理は局所化され、必要な特定個人情報保護措置を講じられており、かつ、今回の情報漏えいを起こした事務はマイナンバーを用いる事務ではないため、マイナンバー自体が漏えいする可能性は限りなく低いと結論づけられます。
なお、マイナンバー制度導入後であっても今回と同様の事象が発生した場合には、個人情報(基礎年金番号、氏名、生年月日、住所など)の漏えいを発生するリスクはあるため、追加措置に関する検討の余地はあると考えられます。
関連記事
- マイナンバー制度の情報漏えいリスクを検証する(前編)
日本年金機構での情報漏えい事故を契機に、マイナンバー制度でも同様のリスクを懸念する声が聞かれますが、本当に危険なのでしょうか。特定個人情報の保護措置がどのように検討されてきたのかについて検証します。 - マイナンバーカードの「裏」
2016年1月から公布される「個人番号カード」、基本4情報に加えて顔写真までついて運転免許証よりも取得ハードルの低い身分証明書だね。と思っていたら大きな落とし穴がありますよ。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - マイナンバー対応ふまえた、日本企業「データ保護」の課題
Vometricが公開した内部犯行に関する調査リポートにより、改めて日本独特の課題が浮かび上がった。日本企業は、マイナンバー対応をふまえた「データ保護」のセキュリティをどんな観点で考えるべきか
Copyright © ITmedia, Inc. All Rights Reserved.