企業のマイナンバー対応、セキュリティに不安な実態判明

自社からのマイナンバーの漏えいを心配する声が目立つが、IT部門が対応するケースは4％ほどしかなく、セキュリティ対策もあまり進んでいないことが分かった。

[ITmedia]

　2016年1月に始まるマイナンバー制度への対応で、多くの企業がセキュリティ対策に不安を抱えている実態が判明した。“人任せ”の対策が目立ち、システム的な対策を講じるケースはわずかな状況だ。

　デジタルアーツが8月28〜30日に実施した「マイナンバーのセキュリティに関する実態調査」の結果によると、アンケートに回答した912社のうち、69％が2015年12月末までにセキュリティ対策を終えるとした。

マイナンバーのセキュリティ対策完了時期（出典：デジタルアーツ）

　また、半数以上が制度概要などを理解していると答えたものの、セキュリティに関わる特定個人情報保護委員会のガイドラインの内容やマイナンバーの漏えいに伴う罰則規定、委託先管理責任などを理解しているとの回答は4割前後にとどまっている。

　マイナンバーのセキュリティ対策は、50.7％の企業が総務部門で担当しており、人事部門（15.4％）や経理部門（7.5％）が続く。通常のセキュリティ対策を担うIT部門がマイナンバーのセキュリティ対策を担当しているというのは4.3％、情報セキュリティ部門が担当しているケースも6.7％だった。

セキュリティ対策の対応部門（同）

　マイナンバーのセキュリティリスクでは、62.0％が「自社の従業員の人為的ミスによる情報流出」を挙げ、「外部からのサイバー攻撃による情報搾取」（43.8％）、「自社の従業員による情報の持ち出し」（32.1％）が続いた。

マイナンバーのセキュリティ対策での懸念（同）

　マイナンバー管理における具体的なセキュリティ対策の上位は、「人事給与システムの導入・改修」（48.5％）、「情報セキュリティ教育」（34.4％）、「セキュリティに関するルールの策定」（34.2％）、「クラウドサービスの導入」（27.2％）。一方でシステム的な対策は「ウイルス対策ソフトの導入」（20.8％）、「不正侵入検知・防御システムの導入」（11.6％）など下位に並んでいる。

マイナンバーのセキュリティ対策内容（同）

　調査結果についてデジタルアーツは、「人為的ミスや情報の持ち出しは、業務システムの改修や教育、ルール作成だけでは防ぎ切れない」と指摘。情報漏えいを懸念しながら、システム的な対策を講じる意識は低く、「アンマッチが浮き彫りになった」とみる。

　10月にはマイナンバーの通知が始まるため、制度開始までの3カ月間に企業ではセキュリティ対策を急ぐ必要がある。同社では「情報セキュリティ部門とも連携して、具体的なシステム面でのセキュリティ対策を検討することが望まれる」としている。