第10回 最大のリスクは「サイバー攻撃」か「内部犯行」か：伊藤塾長の「実践マイナンバー 早わかり3分講座」

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「マイナンバー漏えいのリスクを確認する」です。

[伊藤健二＆大橋恵子（パイプドビッツ），ITmedia]

この連載は……

　2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

　本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。

塾長：伊藤健二（パイプドビッツ総合研究所 政策創造塾塾長）

パイプドビッツ総合研究所 政策創造塾 塾長／明治学院大学 学長特別補佐（戦略担当）。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。

ゲスト：三輪信雄氏（S&J株式会社 代表取締役社長）

株式会社ラックの代表取締役社長として、日本の情報セキュリティ市場を開拓するとともに、Windows製品などに脆弱性を発見し、セキュリティパッチを発行させるといったセキュリティ技術者やセキュリティ製品開発の経験も併せ持つ。現在は現在はS&J株式会社の代表取締役社長を務めるほか、総務省最高情報セキュリティアドバイザーや政府関連の委員会の委員を務めるセキュリティの専門家。

進行と解説：大橋恵子（パイプドビッツ 経営ソリューション事業部長）

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。

大橋　今回もセキュリティの専門家であるS&Jの三輪信雄社長をゲストに、マイナンバーの管理で最も重要な「情報漏えい対策」を考えていきます。前回はマイナンバーを取り扱う端末、特に従業員のPCが狙われるという話に焦点を当てましたが、今回は会社として「特定個人情報の漏えいが起こる場面」を考察します。

伊藤　情報漏えい事件となると、まずは「サイバー攻撃」が思い浮かぶと思います。それはなぜか、改めてその理由や背景を教えていただけますでしょうか。

三輪氏　企業は多くの情報をデジタルデータで保持し、管理しています。そのデータはどこにあるでしょう。一例として、すべて自社で受け持つオンプレミス型システムの企業の場合を考えます。

　まず、担当者がPCで情報を入力していくので、担当者の端末に情報が保存されます。その情報は基幹システムなどの社内サーバへ集まり、蓄積されます。人事・会計や業務システムとなれば、そこへ自社が持つ個人情報の全員分が保管されるということになります。

　多くの情報が漏えいするケースの大半は、このサーバが攻撃された（攻撃がたどり着いた）ことから流出しています。

伊藤　すでにマイナンバーの漏えい（自治体が、誤って番号を記載した住民票を発行してしまった）や、マイナンバーに関連した詐欺事件なども発生しており、政府は注意を呼び掛けています。

　改めて、攻撃者が企業のサーバを攻撃するのはなぜですか？

三輪氏　個人情報そのものが狙いの場合もありますが、マイナンバーについては「会社にダメージを与えること」も攻撃者の狙いとなり得ます。

　マイナンバーを漏えいさせてしまうと、特定の条件を満たす場合を除き、企業は政府機関に届出を行い、漏えいした事実を公表する必要があります。企業活動は信用が第一です。マイナンバーの漏えいを引き金に、企業へ大きなダメージを与えられることになります。

伊藤　日本年金機構の大規模情報漏えい事故を思い出します。この事故は、攻撃者が送った「標的型メール」と、機構側の個人情報保護管理体制の不備、甘さが重なって起こりました。

　標的型メール攻撃を含めたサイバー攻撃による漏えいなど被害を防ぐため、企業はどのようなことに気をつけて対策していけばよいのでしょうか。

三輪氏　こちらは「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」および「（別冊）金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ＆Aに参考例が記載されています。具体的には「Q11-4」になります。

特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン」に関するQ＆A（Q11-4）

三輪氏　このQ＆Aでは、前半のガイドラインの順守に加え、IPA（情報処理推進機構）が公表しているセキュリティ対策についても言及しているのがポイントです。何を対策すればよいか分からないというマイナンバー担当者は、まずこちらを参考にして対策を行うよう務めて下さい。

伊藤　この対策は極めて重要ですね。知らなかったでは済まされませんから。

　しかし、セキュリティ対策に完ぺきはないのも現実です。もし情報漏えい事案が起こってしまった場合の備えとして実施しておくべき対策はありますか。

三輪氏　情報漏えい事案において最も避けるべきは、外部からの通報などにより発覚することでしょう。

　そのためにも内部で監視する仕組みを導入しておくことが重要です。これは内部関係者が関与する「内部犯行」対策に通じます。

伊藤　こちらは2014年に発生したベネッセの個人情報漏えい事件が思い出されます。

　具体的には、どのような仕組みを取り入れるべきでしょう。

三輪氏　まず少しでも早く検知するために、「モニタリング（監視）」が必要です。

　監視するポイントは、特定個人情報を取り扱う端末で、「業務以外の用途に利用していないか」「端末から特定個人情報が削除されているか」、そして「その端末以外で、特定個人情報の取り扱いをしていないか」です。

伊藤　マイナンバー制度の対応においては、セキュリティ会社が提供している監視ツールの導入はかなり有効ということですね。前回の話もふまえると、マルウェアの監視もできるとより効果的になりそうですね。

三輪氏　そうですね。

　また、サーバのアクセス記録も取得し、保管しておくようにしましょう。

　特に中小企業ではITシステム管理者が1人ということもあるでしょうから、システム管理者が他の人から見て何をしているか分かるようにしておくべきと思います。

伊藤　ITシステムの管理を外部に委託しているケースも多いですよね。

三輪氏　はい。委託先の担当者による情報漏えいなども視野に入れると、委託先についてもシステムの利用ログまで取得しておく必要があるでしょう。

　こういった場合、執務室に監視カメラを設置するところもあるのではないでしょうか。

大橋　IPAが実施した調査で「社員の内部不正への気持ちが低下する対策」に関する資料があります。

　例えば、「社内システムには操作履歴が残る機能が導入されていることを、社員に通知することが内部不正の抑止に有効であると考えられる」と記載されています。

社員の内部不正への気持ちが低下する対策（出典：IPA「組織内部者の不正行為によるインシデント調査」）

三輪氏　経営者や管理者と、従業員の意識にはずいぶん乖離（かいり）があるようですね。今回の特定個人情報の漏えい防止の対策においては、経営者や管理者が意識を変えることが重要といえます。

　今回のまとめとしては、情報漏えい対策は、外部からの攻撃（サイバー攻撃など）と内部犯行の双方の観点で取る必要があります。特に「監視」が重要なポイントになります。ログを収集するだけでなく、定期的にチェックを行うことが求められています。

大橋　三輪社長、ありがとうございました。

　マイナンバーの通知が始まりますが、日本経済新聞の調査によると、マイナンバー制度の対応を終えた中小企業は6.6％にとどまるとの結果も出ています。

　次回は、そんな対応が進んでいない企業に向けて「日常業務の中で起こりうる情報漏えい」について考える予定です。

今回のおさらい

• 内部犯行の防止は、社内システムの操作ログの取得・保管が有効
• サイバー攻撃に対する防止対策として、少なくともIPAなどが公表しているセキュリティ対策を参考に実施する

＜Information＞マイナンバーセミナーのご案内

　パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

　詳細やお申込は＜こちら＞から。