第9回 「人事部のPCが危険」な理由：伊藤塾長の「実践マイナンバー 早わかり3分講座」

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「マイナンバー制度のセキュリティ対策」です。

[伊藤健二＆大橋恵子（パイプドビッツ），ITmedia]

この連載は……

　2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

　本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。

塾長：伊藤健二（パイプドビッツ総合研究所 政策創造塾塾長）

パイプドビッツ総合研究所 政策創造塾 塾長／明治学院大学 学長特別補佐（戦略担当）。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。

ゲスト：三輪信雄氏（S&J株式会社 代表取締役社長）

株式会社ラックの代表取締役社長として、日本の情報セキュリティ市場を開拓するとともに、Windows製品などに脆弱性を発見し、セキュリティパッチを発行させるといったセキュリティ技術者やセキュリティ製品開発の経験も併せ持つ。現在は現在はS&J株式会社の代表取締役社長を務めるほか、総務省最高情報セキュリティアドバイザーや政府関連の委員会の委員を務めるセキュリティの専門家。

進行と解説：大橋恵子（パイプドビッツ 経営ソリューション事業部長）

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。

大橋　2015年10月5日にマイナンバー法が施行されました。いよいよマイナンバーの収集を開始する企業も出てきます。

　今回より複数回に渡り、「マイナンバー制度のセキュリティ」を深堀りしましょう。セキュリティの専門家であるS&Jの三輪信雄社長をお迎えして、マイナンバー対応で最も重要な情報漏えい対策についてのポイントを解説していきます。

伊藤　三輪社長、よろしくお願いします。

三輪氏　はじめまして。よろしくお願いします。

伊藤　早速ですが、今回の記事タイトルは企業で最もマイナンバーを利用すると思われる人事担当の方が見たら衝撃を受けるかもしれません。

三輪氏　そうですね。衝撃的ですよね。

　私もマイナンバーに関して、自治体や民間企業からセミナー講師の依頼を多く受けますが、とくに人事部、人事担当の方が参加されるセミナーでは必ずこの話をしています。

　「人事部の皆さんのPCは、危険がたくさん潜んでいますよ」とね。

伊藤　人事担当者のPCがなぜ危険なのでしょう。具体的にはどのようなことが挙げられますか？

三輪氏　人事担当者は採用活動も行うので、もともと添付ファイルを開く文化があります。

　しかも、就職希望者からのメールなので、無条件に添付された履歴書ファイルなどを開いてしまいます。

伊藤　仰る通りですね。

三輪氏　ウイルス対策ソフトを導入していれば、ウイルスが検知できるので問題ない、と考えている方も多いのですが、マルウェアと言われる最近のウイルスは、残念ながらウイルスワクチンで検知されることはほとんどありません。

伊藤　それは怖いですね。しかし、攻撃者の立場からすると、顧客情報や開発中の機密データといったビジネスにおける情報を狙うのではないでしょうか。それを取り扱わない人事担当者のPCを狙う理由はどこにあるのでしょうか。

三輪氏　人事部のPCから社内情報にアクセスすると、各従業員の個人情報や配属、役職などが分かる従業員台帳から、給与データまで情報を取得することができてしまいます。

　また、人事部のメールアドレスは公開されている場合も多いです。まず、狙いやすいというのが危険な理由の1つでしょう。

伊藤　狙いは従業員情報ということでしょうか。

三輪氏　従業員情報もそうですが、やはり顧客情報が狙いと考えられます。

　例えば、攻撃者が取得した情報を使って人事担当者になりすましてメールを送れば、受けとった従業員はおそらく何も疑わずにメールに添付されたファイルを開くのではないでしょうか。

　こうしてマルウェアに感染させた従業員のPCから顧客情報を取得することが可能だと思います。

伊藤　そうなる前に、マイナンバーを取り扱う人事担当者のPCに対するセキュリティ対策は、これまで以上に万全にする必要がありますね。

　一方、ガイドラインには、「特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい」と記載されています。この対応だけでマイナンバーのセキュリティ対策は万全か、不安な担当者の方も多いと思います。こちらはいかがでしょうか。

三輪氏　まず、特定個人情報を取り扱う端末は、通常の業務で使う端末とは明確に分けるべきです。つまり、特定個人情報等を取り扱う業務専用に用意するべきです。特に、Webブラウザやメールなどの利用は避けなければいけません。

伊藤　ネットワークを通じて感染していくマルウェアとなると、おそらくネットワークも分離した方がよいのでしょうね。

三輪氏　通常の業務で利用するネットワークと、マイナンバーを取り扱う端末が接続するネットワークは分離することが望ましいと思います。ネットワークが分離されていなければ、他の端末から感染する可能性がありますから。

伊藤　専用端末を用意して、ネットワークを分離すれば大丈夫なのでしょうか。

三輪氏　社内ネットワークにマルウェアが侵入すると、ネットワークを渡って、専用ネットワークにも感染を広げてしまうことがあります。したがって、特定個人情報を扱わない部署であっても、マルウェアの感染にはこれまで以上に注意する必要があります。

　標的型攻撃では、巧みな文章で添付ファイルを開かせたり、リンク先をクリックさせるようにします。「あなたも、人ごとではない」と従業員に教育や注意喚起をするべきです。

伊藤　三輪社長、ありがとうございます。

大橋　今回の話から、マイナンバーを取り扱う端末のセキュリティ対策をまとめましょう。

三輪氏　重要なのは情報漏えいしないためのセキュリティ対策だと思います。

　マイナンバーの収集を始める前に、ぜひセキュリティ対策については、改めて見直していただければと思います。

大橋　三輪社長、伊藤先生、ありがとうございました。次回はサイバー攻撃に対する対策について確認しいきたいと思います。

（大橋）

今回のおさらい

• マイナンバーを取り扱う端末のセキュリティ対策を収集開始前に確認しましょう

マイナンバー実務に関わる最新情報

　国税庁から、本人へ交付する源泉徴収票等への個人番号の記載について、運用に変更が入りました。

　2016年（平成28年）1月以降も、給与などの支払いを受ける方に交付する源泉徴収票などへの個人番号の記載は不要となります。詳細はこちら。

• 法定調書提出義務者・源泉徴収義務者の方へのお知らせ：「本人へ交付する源泉徴収票や支払通知書等への個人番号の記載は必要ありません」（国税庁）

＜Information＞マイナンバーセミナーのご案内

　パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

　詳細やお申込は＜こちら＞から。