2016年1月にスタートするマイナンバー制度。国民一人ひとりに付与される12桁の番号を含む個人情報は「特定個人情報」に位置づけられており、取り扱いを誤ると社会的信頼を失う危険が潜んでいる。企業は情報漏えいのリスクに対し、どのような準備をすべきなのか――。
2016年1月のマイナンバー制度施行まで残すところ半年足らずとなった。大企業を中心にマイナンバー制度への対応が整いつつあるが、中堅・中小では「これから準備を始める」という企業も少なくない。マイナンバー制度のスタートを目前に控えた今、企業が備えておくべきポイント、何に取り組むべきなのかを、改めて整理してみよう。
2016年1月から始まるマイナンバー制度(社会保障・税番号制度)は、社会保障、税、災害対策の分野において、それぞれの機関が保有する個人情報が同一人物のものであることを確認するために国が導入する新たな社会基盤である。
マイナンバー制度が始まると、情報の照合や転記に要していた時間と労力が効率化され、社会保障や税関係の面倒な手続が簡素化されるなど、国民にとっての利便性が高まる。また、所得状況が把握しやすくなることで脱税や不正受給を防止するなど、公平で公正な社会の実現も期待されている。
2015年10月からは、いよいよ日本に住民票があるすべての人に12桁のマイナンバーが通知される。2016年1月の運用開始以降は、年金、医療保険、雇用保険、福祉の給付や税の手続きで申請書にマイナンバーの記載が必要になるため、企業は、社会保障や税の手続きに必要な「従業員とその扶養家族のマイナンバー」を預かって管理しなければならない。
ここまでは、これからマイナンバーを取り扱うことになる企業の担当者ならば予備知識として理解していることだろう。ではなぜ、マイナンバーの管理方法がここまで大きく取り沙汰されているのか。それはマイナンバーとそれに紐付く個人情報が、「厳重な管理を必要とする情報」として法で定められているためだ。
マイナンバー制度と同様の施策は、欧米先進国をはじめ世界の多くの国ですでに実施されているが、番号の不正売買や、犯罪に使用されるケースが後を絶たない。当然、日本でも、「個人情報が外部に漏えいするのではないか」「他人のマイナンバーを使った“なりすまし”が起きるのではないか」といったリスクが懸念されている。
そこで行政手続における特定の個人を識別するための番号の利用等に関する法律では、マイナンバーとそれに紐付く情報を「特定個人情報」と位置付け、確実な情報管理を求めている。マイナンバーを法律で決められた目的以外に使用したり、マイナンバーを含む個人情報を不正に収集・保管したり、マイナンバーや個人情報が記録されたデータを他人に提供することは禁止され、最も重い刑罰では、違反した者には「4年以下の懲役、もしくは200万円以下の罰金、またはその併科」、企業にも「200万円の罰金」という重い罰則が課される。損害賠償や対策のためには多額のコストが掛かり、企業の信用失墜につながるなど、金銭的、社会的な制裁を受けることになる。これは企業の存続に関わる大きな問題だ。
マイナンバーを含む個人情報を漏えいさせないためには、漏えいにつながるリスクを知っておくことが重要だ。
情報漏えいの原因は、大きく2つに分類できる。1つは誤操作や管理ミス、端末の紛失・置き忘れといったヒューマンエラーに起因するもの。すなわち「過失」によって発生する事故であり、事故件数としても圧倒的に多い。
もう1つは、不正アクセスや不正な情報持ち出しなど、内部犯罪、不正行為といった「故意」による事件だ。これは件数としては少ないものの、大量の情報漏えいにつながる可能性が高い。例えば、2014年7月に発生した大手通信教育会社の個人情報漏えい事件は、関連会社従業員による不正な持ち出しが原因だった。また、2015年7月に発生したスポーツ団体運営会社の事件では、Webサーバの脆弱性を突いた外部からの不正アクセスにより、クレジットカード情報を含む個人情報が流出した。
マイナンバー制度の施行後は、こうした事故が絶対に許されない。マイナンバーは社会保障や税だけでなく、金融機関の銀行口座や証券口座などの情報や、医療分野への適用も検討されており、今後は利用範囲がさらに広がる可能性がある。利用範囲が拡大すればするほど、マイナンバーの重要性や機密性が高まるわけだ。
マイナンバーの重要性、機密性が高まれば、番号を預かる企業は不正アクセス行為を働く犯罪者にとって格好の標的となる。企業はこれまで以上に情報漏えい対策に取り組まなければならないのだ。
では、個人情報の漏えいを防ぐには、どのような対策が有効だろうか。まずは、内閣府 特定個人情報保護委員会(PPC)が提供するガイドラインに沿ってマイナンバーの受け入れを準備するところからのスタートも一案。PPCでは、「中小企業向け はじめてのマイナンバーガイドライン」「小規模事業者必見! マイナンバーガイドラインのかんどころ」「社長必見!! ここがポイント マイナンバーガイドライン」など、分かりやすく解説した資料を配布している。こうした情報は参考になるはずだ。
さらに心強い味方になるのが、情報漏えい対策製品として、大企業から中堅・中小企業まで幅広く支持されている「FUJITSU Software Systemwalker Desktop Patrol」「FUJITSU Software Systemwalker Desktop Keeper」。これらは構築も容易だ。
製品開発を担当する富士通ミドルウェア事業本部 サービスマネジメント・ミドルウェア事業部 プロダクト技術部 エキスパート 込山弘之氏は、マイナンバーの情報漏えい対策を実施するには「デバイスの制御」「ヒューマンエラーの削減」「内部犯行の防止・発見」がポイントになると話す。
「PCだけでなくスマートフォンやタブレット、USBメモリなどのデバイスが普及した現在、すべてのデバイスからの情報持ち出しを制御し、不要・不正な操作を未然に防がなければなりません。また、利用者が忘れていた場合でも、自動でセキュリティパッチを適用して対策漏れを防いだり、デバイスの紛失時・廃棄時にデータを確実に消去できる仕組みを用意し、ヒューマンエラーをなくす必要があります。内部犯行を防止し、検知するためには、普段からリスクがある操作の傾向を把握することも大切です。マイナンバーの安全管理を支援する富士通の情報漏えい対策製品は、これらのポイントを実現する機能を搭載しています」(込山氏)
マイナンバーの情報漏えい対策に対して富士通の情報漏えい対策製品には4つの強みがある――。こう話すのは、富士通ミドルウェア事業本部 サービスマネジメント・ミドルウェア事業部 プロダクト技術部の岩本清孝氏だ。
1つ目は「特定個人情報を含むファイルの利用・出力状況を操作ログとして取得する機能が挙げられます。Systemwalker Desktop Keeperが搭載するこの機能を利用することで、内部犯行の抑止効果が期待できるほか、万一の場合にも原因を究明することができます」(岩本氏)
2つ目は、USBメモリなど、記録媒体の持ち出しによる情報漏えいを防ぐ機能だ。Systemwalker Desktop Keeperの機能により、会社が許可した安全なUSBメモリでのみ、データを持ち出せる。データは暗号化して格納するため、たとえ媒体を紛失しても情報が漏えいすることはなく、業務上の利便性を損なわずに、情報漏えいを防ぐことができる。
「3つ目は、マイナンバー情報を格納している機器を廃棄するときに、データを完全消去できる機能です。マイナンバーは必要がなくなったら廃棄しなければなりません。Systemwalker Desktop Patrolは、ストレージのデータを完全消去するためのツールも提供しています」(岩本氏)
さらに、Systemwalker Desktop Patrolは、例えばWindowsの更新処理を集中管理するマイクロソフト、「WSUS(Windows Server Update Services)」などを使用しなくてもPCのパッチ適用状況を管理でき、未適用PCを自動検出する機能も内蔵している。
富士通はこうした強みを持つ製品だけでなく、マイナンバーの情報漏えい対策を支援するアセスメント/導入/診断サービスも提供している。効果を確認できる無料のタッチ&トライ環境も用意しており、本格的な導入の前に試すことができる。
マイナンバーへの対応をこれから行う企業や情報漏えいに不安を感じている企業は、富士通に相談することをお勧めする。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年9月16日