ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編：ハギーのデジタル道しるべ（3/3 ページ）

[萩原栄幸，ITmedia]

マイナンバー

　2016年1月に始まったマイナンバー制度だが、本格運用はこれからである。年末調整のためにマイナンバーを収集しているというところも多く、そのセキュリティ被害が大きな騒ぎにはなっていない。しかし、本格運用が進む2017年は新聞の一面を飾るような大規模な漏えい事件が発生する可能性が高い。

　これは決してあおっているわけではなく、諸外国の状況や現在のマイナンバー管理手法では根本的に情報漏えいを防げるとは思えないからだ。たぶん時間の問題だと思う。マイナンバーのセキュリティは、「漏えいさせない対策」がメインに講じられているが、それだけではなく、「万一自社からマイナンバーが漏えいした時のマスコミ報道」にも備えるべきだろう。

• 規模を縮小化する
• 範囲をミニマム化する（対象はマイナンバー＋勤務先だけ。氏名や住所は独立構造のDBで管理し、被害拡散はなかった――など）
• 部署ごとの隔壁があり、1万人分ではなく500人分だった

　こうした対応ができる対策が自信を持ってできる体制、組織、技術的な対応策が必要になると思う。

企業や組織ではマイナンバーのセキュリティ対策は適切に講じられているだろうか（総務省サイトより）

ATMの不正利用事件（関連記事）

　今後クレジットカードのセキュリティは、世界の先進国と同様に磁気ストライプ情報によるものではなく、高度なセキュリティ（ICチップの暗号化されたセキュリティ強度の高い情報など）を利用したものになっていく。

　ある業界では、磁気情報でのクレジットカード利用による犯罪被害の責任は小売側にあるとして、約款の見直しを含めて検討されていると聞く。これは一朝一夕に変わらないだろが、それも時間の問題。高度なセキュリティ方式に代わっていくだろう。

　次回もこの続きを紹介したい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。