マイナンバー制度の情報漏えいリスクを検証する(後編):マイナンバー・企業の対応と注意点(2/2 ページ)
マイナンバー制度において、日本年金機構での情報漏えい事故と同じ事象が発生した場合にどのようなことが起きるでしょうか。懸念されている「マイナンバーの漏えい」と「漏えいによる被害」の2つの可能性について検証します。
検証2・もしマイナンバーが漏えいした場合に国民が懸念する被害シナリオが発生するか?
もう一歩踏み込んで、もし個人情報とともにマイナンバーが漏えいしてしまった場合に、国民の懸念する被害シナリオが発生するかどうか検証します。
冒頭で述べた番号制度に対する国民の懸念は以下となりますが、マイナンバーが行政機関外に漏えいした場合に国民が思い浮かべる被害シナリオは、国民の懸念で挙げられた1点目の「集積・集約された個人情報が外部に漏えいするのではないか?」、2点目の「なりすまし等のマイナンバーの不正利用で被害を負うのではないか?」の2つになると考えます。
番号制度に対する国民の懸念
- 個人番号を用いた個人情報の追跡・名寄せ・突合が行われ、集積・集約された個人情報が外部に漏えいするのではないかといった懸念
- 個人番号の不正利用等(例:他人の個人番号を用いたなりすまし)により財産その他の被害を負うのではないかといった懸念
- 国家により個人の様々な個人情報が個人番号をキーに名寄せ・突合されて一元管理されるのではないかといった懸念
【出典】内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省「マイナンバー 社会保障・税番号制度 民間事業者の対応 平成27年5月版」より抜粋(資料PDF)
1.集積・集約された個人情報が外部に漏えいするのではないか?
マイナンバー制度では、個人情報は同じところで一元管理されている訳でなく、例えば、国税に関する情報は税務署、生活保護や児童手当に関する情報は市町村、健康保険に関する情報は健康保険組合等で、従来どおり分散管理されます(図2)。
したがって、最初に個人情報とともに漏えいしたマイナンバーを入手したとしても、個人情報は一元管理されている訳ではないので、他の機関で同様の漏えい事故が同時多発的に起こらない限り、特定個人の個人情報が芋づる式に収集される可能性はほぼありません。
2.なりすまし等の不正利用で被害を負うのではないか?
悪意を持った人物が他人になりすましてマイナンバーを利用しようとした場合には、マイナンバー制度で義務付けられている本人確認措置(図3)により、不正利用ができないような措置が講じられています。
本人確認措置※2とは、番号法第16条に規定されている措置であり、本人よりマイナンバーの提供を受けた場合には都度、「個人番号の確認(本人のマイナンバーかどうか)」と「身元(実在)の確認(マイナンバーを提示した人が本人かどうか)」を実施することになるため、適切に本人確認が行われれば、なりすましをされて、悪用される可能性はほぼありません。たとえ、マイナンバーに加え、いわゆる「基本4情報」である氏名、住所、生年月日、性別が漏えいし、それを利用されたとしても、本人確認措置における「身元(実在)の確認」により、なりすましは限りなく困難であると言えます。
さらに、番号法第7条第2項にて、マイナンバーが漏えいして不正に用いられるおそれがあると認められるときは、マイナンバーを変更できる規定となっています。マイナンバーを変更することで旧マイナンバーは使用できなくなるため、被害は最小限に抑えることができます。なお、マイナンバーを変更した場合には、本人が関係機関へマイナンバーを変更した旨を連絡する必要があります。
※2:本人確認措置の具体的な確認方法ついては、内閣官房「マイナンバー 社会保障・税番号制度HP」-「本人確認の措置についての資料」(PDF)をご参照ください。
おわりに
これまでに述べてきた通り、マイナンバー制度導入にあたって必要と考えられる制度面・システム面での保護措置は講じられていると考えます。
その一方で本人確認措置を適切に行わなければなりすましを見逃してしまうなど、最終的にはマイナンバーを取扱う当事者における順守への意識によるところも非常に大きなものであります。したがって、当然のことながら、これら当事者が高い意識を持ち、法制度やガイドラインに沿ってマイナンバーの取扱いを行うことが、真にマイナンバー制度における特定個人情報保護措置の実現に不可欠であることは言うまでもありません。
特集まとめ読み特別冊子 プレゼント応募フォーム
特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。
関連記事
- マイナンバー制度の情報漏えいリスクを検証する(前編)
日本年金機構での情報漏えい事故を契機に、マイナンバー制度でも同様のリスクを懸念する声が聞かれますが、本当に危険なのでしょうか。特定個人情報の保護措置がどのように検討されてきたのかについて検証します。 - マイナンバーカードの「裏」
2016年1月から公布される「個人番号カード」、基本4情報に加えて顔写真までついて運転免許証よりも取得ハードルの低い身分証明書だね。と思っていたら大きな落とし穴がありますよ。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - マイナンバー対応ふまえた、日本企業「データ保護」の課題
Vometricが公開した内部犯行に関する調査リポートにより、改めて日本独特の課題が浮かび上がった。日本企業は、マイナンバー対応をふまえた「データ保護」のセキュリティをどんな観点で考えるべきか
Copyright © ITmedia, Inc. All Rights Reserved.