第11回 まだあるマイナンバーの利用・保管時のセキュリティリスク：伊藤塾長の「実践マイナンバー 早わかり3分講座」

[伊藤健二＆大橋恵子（パイプドビッツ），ITmedia]

この連載について

　※本連載は、今回からITmedia エンタープライズから「ITmedia ビジネスオンライン」に引っ越ししました。過去の記事はバックナンバーからご覧頂けます。

　2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

　本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。

塾長：伊藤健二（パイプドビッツ総合研究所 政策創造塾塾長）

パイプドビッツ総合研究所 政策創造塾 塾長／明治学院大学 学長特別補佐（戦略担当）。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。

ゲスト：三輪信雄氏（S&J株式会社 代表取締役社長）

株式会社ラックの代表取締役社長として、日本の情報セキュリティ市場を開拓するとともに、Windows製品などに脆弱性を発見し、セキュリティパッチを発行させるといったセキュリティ技術者やセキュリティ製品開発の経験も併せ持つ。現在は現在はS&J株式会社の代表取締役社長を務めるほか、総務省最高情報セキュリティアドバイザーや政府関連の委員会の委員を務めるセキュリティの専門家。

進行と解説：大橋恵子（パイプドビッツ 経営ソリューション事業部長）

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。

大橋　第9回、第10回に続き、今回もセキュリティの専門家であるS&Jの三輪信雄社長にポイントを聞いていきましょう。

　今回は、収集や保管時のセキュリティリスクについて解説をお願いできればと思います。

伊藤　今回もよろしくお願いします。

　読者の方が想定しやすいよう、収集・保管時のそれぞれの場面に分けて進めていきましょう。

三輪氏　重要なのは、それぞれの場面における「守るべきポイント」と「リスクのシナリオ」を明確にすることです。

　明確にした上で、対策を立てていくという流れになるでしょう。

伊藤　では、収集から解説をしていただけますでしょうか。

　早い地域では、そろそろ各世帯宛にマイナンバーが届き始めるのと同時に、企業でも収集が始まるころだと思います。

三輪氏　収集時のもっとも高いリスクは「紛失」といえるでしょう。

　紙で収集すると決めた企業の場合は、人事部に直接持ち込まれることになります。最低限、誰がいつ提出したか、提出済み対象者の管理と履歴を確実に取ってください。

伊藤　管理しないと、紛失の有無を確認する手立てがなくなるということですね。

三輪氏　その通りです。

　もう一つ紛失の有無を確認できなくなる恐れがあるのは「郵送時」です。郵送でマイナンバーを集めるならば、「輸送状況を追跡できる手段」を選ばなければなりません。普通郵便では状況を追跡できないので使用は避けるべきです。

　少なくとも送付した方は、確認番号等で書類のありかを確認できます。

伊藤　マイナンバーの収集代行サービスを手掛ける事業者では、郵送の手段として書留や簡易書留を条件としているところが多いのは紛失リスクの防止ということですね。

三輪氏　このほかに紛失ではありませんが、メールによる収集は危険です。番号通知カードと身分証明書や個人番号カードを撮影し、メール添付で、会社へ送るといった手段を使ったとしましょう。

　このとき、画像をPCやスマホに保存したならば、そこへ特定個人情報が残ってしまいます。また、設定によってはクラウド上へ自動保管されてしまうかもしれません。

　またメールは、メールサーバは送信側・受信側いずれにも残りますし、削除もできません。さらに、メールは暗号化通信ではないので、さらに危険といえるでしょうね。

伊藤　確かに、メールでの収集は危険が多いですね。収集だけでも大変ですね。

三輪氏　したがって、オンライン上で収集をするのであれば、マイナンバーの収集をすることができるクラウドサービスを利用したほうがいいでしょう。

　きちんとしたクラウド収集サービスならば暗号化通信がされていますし、画像や保存データそのものを適切に暗号化しているはずです。

伊藤　では、保管時についてはどうでしょうか？

三輪氏　保管時のもっとも高いリスクは「情報漏えい」に尽きるでしょう。

　ウイルスやマルウェアを介した漏えいもあれば、内部犯行による漏えいもありますので、両面での対応が必要になります。

伊藤　まずウイルスやマルウェアに対しては、どのような対策が有効でしょうか？

三輪氏　外部からの不正アクセスや不正ソフトウェアからの保護については、特定個人情報保護委員会が公開しているサイトのFAQのうちA11-4にも記載されていますので、皆さんもぜひ確認していただくことをお勧めします。

伊藤　社会的の問題となった標的型メール攻撃などからの被害防止策ということですね。

三輪氏　まず、マイナンバーを含む特定個人情報を取り扱う端末でのWebサイトの閲覧やメールの送受信は行わない。

　そして、ウイルスやマルウェアに感染した他の端末から取扱端末に感染してしまわないよう、通常業務で使用するネットワークと分離することを推奨します。

伊藤　データを暗号化して保管している場合であっても、ネットワークの分離などの対策は必要ということでしょうか？

三輪氏　データの暗号化は、データを運んでいる途中のリスクを下げる効果はありますが、ウイルスなどは盗聴して解凍パスワードを持っていきますので、情報漏えい対策という観点では暗号化だけでは十分とは言いにくいでしょう。

伊藤　内部からの情報漏えい防止という観点では、どのような対策が有効と考えますか？

三輪氏　特定個人情報の取扱いにおいては、アクセスログや利用ログの取得および定期的な分析と不正アクセスの検知が求められています。内部からの情報漏えいを防ぐには、すべてのログが取得されていること、また当該ログを人為的に削除できないようにすること、この2点を周知することが重要でしょう。

伊藤　周知することで、抑止力を働かせることが重要ということですね。

三輪氏　その通りです。

　また、データをそのまま持ち出すことができる機能については、1人で操作などを行なうことができないよう、機能面で対策をとっておくことも重要といえます。通常の業務における内部統制と同じですね。

大橋　三輪社長、伊藤先生、ありがとうございました。

　次回は、情報漏えいした場合の企業における対応についてお伺いしていきたいと思います。

今回のおさらい

• 収集時は「紛失」リスクを防ぐために、郵送やオンライン収集時の対策を立てましょう。
• 保管時は「情報漏えい」を防ぐために、内部不正と外部からの不正アクセスの両面での対策をたてましょう。

マイナンバー実務に関わる最新情報

　国税庁から、本人へ交付する源泉徴収票等への個人番号の記載について、運用に変更が入りました。

　2016年（平成28年）1月以降も、給与などの支払いを受ける方に交付する源泉徴収票などへの個人番号の記載は不要となります。詳細はこちら。

• 法定調書提出義務者・源泉徴収義務者の方へのお知らせ：「本人へ交付する源泉徴収票や支払通知書等への個人番号の記載は必要ありません」（国税庁）

＜Information＞マイナンバーセミナーのご案内

　パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

　詳細やお申込は＜こちら＞から。