マイナンバー制度の情報漏えいリスクを検証する(前編):マイナンバー・企業の対応と注意点(2/3 ページ)
日本年金機構での情報漏えい事故を契機に、マイナンバー制度でも同様のリスクを懸念する声が聞かれますが、本当に危険なのでしょうか。特定個人情報の保護措置がどのように検討されてきたのかについて検証します。
マイナンバー制度で講じられた特定個人情報の保護措置
前述の配慮をもって進められた検討を経て、マイナンバー制度では以下に示すような制度面、システム面の両面からの保護措置を講じる方針となりました。
制度面における保護措置
- 番号法の規定によるものを除き、特定個人情報(マイナンバーをその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止(番号法第20条、第28条)
- 特定個人情報保護委員会による監視・監督(番号法第50条〜第52条)
- 特定個人情報保護評価(番号法第26条、第27条)
- 罰則の強化(番号法第67条〜第77条)
- マイナポータルによる情報提供等記録の確認(番号法附則第6条第5項)
システム面における保護措置
- 個人情報を一元的に管理せずに、分散管理を実施
- 個人番号を直接用いず、符号を用いた情報連携を実施
- アクセス制御により、アクセスできる人の制限・管理を実施
- 通信の暗号化を実施
【出典】内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省「マイナンバー 社会保障・税番号制度 民間事業者の対応 平成27年5月版」より抜粋(資料PDF)
制度面では、法によるマイナンバーの厳格な利用制限や、第三者である特定個人情報保護委員会による監視・監督、また、特定個人保護評価による国民に対する安全対策の宣言、個人情報保護法と比較して強化された罰則等の措置がとられています。
また、システム面では個人情報の分散管理や、マイナンバーを用いらない情報連携等の措置がとられています。
その他にも、2014年12月に特定個人情報保護委員会により「特定個人情報の適正な取扱いに関するガイドライン」が策定され、行政機関や民間事業者等に順守が求められています。当該ガイドラインには特定個人情報の取扱いに関する指針が記載されており、それらについて「順守しなかった場合には、法令違反と判断される可能性がある」と明記されていることから、特定個人情報の取扱者における適切な運用を促す保護措置の一つとなっています。
番号制度で先行する諸外国においても様々な懸念や生じた問題に対して対策が検討され、保護措置が講じられてきましたが、当然のことながら、上記したマイナンバー制度で講じられた特定個人情報保護措置は、それら諸外国の事例※を参考にした上で定められたものとなります。
※諸外国の保護措置の事例については「個人情報保護ワーキンググループ」で整理され、マイナンバー制度の保護措置の検討に活用されています。具体的な資料については、第2回会合での配布資料1-2「諸外国の個人情報保護に対する懸念及びその対策」(関連PDF)をご参照ください。
関連記事
- マイナンバーカードの「裏」
2016年1月から公布される「個人番号カード」、基本4情報に加えて顔写真までついて運転免許証よりも取得ハードルの低い身分証明書だね。と思っていたら大きな落とし穴がありますよ。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - マイナンバー対応ふまえた、日本企業「データ保護」の課題
Vometricが公開した内部犯行に関する調査リポートにより、改めて日本独特の課題が浮かび上がった。日本企業は、マイナンバー対応をふまえた「データ保護」のセキュリティをどんな観点で考えるべきか - 「マイナンバー」とは? 統一番号の試みた歴史
最近様々なところで話題になっている「マイナンバー」だが、こうした試みは古くからあり、筆者も現場で様々な経験をしてきた。「マイナンバー」にまつわる経緯を紐解いてみたい。
Copyright © ITmedia, Inc. All Rights Reserved.