マイナンバー漏洩時の正しい対応方法とは|サイバーセキュリティ.com

マイナンバー漏洩時の正しい対応方法とは



施行から間もなく一年、マイナンバーの管理・運用が各企業で行われていることと思います。現在までにマイナンバーの漏洩はまだ発生していませんが、今後民間サービスとの連携が行われることにより、マイナンバー情報が狙われる可能性も十分考えられます。

今回は、漏洩が発生してしまった場合の“正しい対応方法”についてまとめていきたいと思います。この内容に関しては、マイナンバー以外の情報資産に関しても共通のものですので、ぜひ参考にしてみて下さい。

マイナンバー漏洩時の対応方法

マイナンバーの漏洩が疑われた場合は、下記のステップに従い迅速に対応を進めます。

  1. 事実確認(影響範囲の特定
  2. 関連各所への報告
  3. 被害拡大(二次被害)防止
  4. 所有者への連絡
  5. 再発防止策
  6. マイナンバー再発行に伴う申請

それぞれ詳しく見ていきましょう。

1 事実確認(影響範囲の特定)

マイナンバーの漏洩が発生した場合、まず行うべき行動は事実確認と影響範囲の特定です。過去日本で発生した情報漏洩事件の中には、この初期対応を見誤り取引先や顧客から強い非難を浴びてしまった企業もありますので、十分注意して行いましょう。

マイナンバーの番号だけでは、個人情報の悪用(なりすまし等)は起こりません。しかし、その他の個人情報(生年月日や住所、銀行口座番号等)と紐付けされ同時に管理されていた場合、それら個人情報と組み合わせてマイナンバーが悪用され、金銭的な被害が発生する可能性があります。

  • 漏洩した内容(情報の種類)
  • 範囲(対象者数、件数等)

これらをしっかりと確認した上で、悪用の恐れがある場合は阻止する具体的対策を考えるのです。

事実確認に関しては第三者調査会社など専門に行う企業も多数ありますので、自社内で専門的な調査が不可能な場合は、専門家に依頼するようにしましょう。

2 関連各所への報告

次に1で確認した漏洩内容を、関連各所へ報告します。この段階で起こり得るミスは、漏洩した事実を公表しないなどの「隠蔽」です。

日本社会では「情報漏洩企業=信頼できない」と考える風潮が強いですが、今の時代情報漏洩は“起こるもの”であり、漏洩時の対応によっては、逆に世間の信頼を勝ち取ることも出来るでしょう。

  • 対応策が考えられている
  • 出来る限りの対策を講じている

と認識してもらうことで、漏洩の事実はそこまで大きなダメージとはなりません。また、自分たちで公表する場合と、外部からのリークで判明してしまう場合とでは、圧倒的に後者の方が企業へのダメージは大きいということを覚えておきましょう。

「関連各所」については、企業によって報告先が異なります。自治体や省庁、取引先企業はもちろん、1で確認した漏洩状況において事件性が考えられる場合は、警察にも報告するようにしましょう。

3 被害拡大(二次被害)防止

2と並行して進めるものが、被害拡大防止の取り組みです。

不正アクセス等であれば、侵入経路を遮断する事はもちろん、その他の経路での不正侵入を徹底的に排除するようセキュリティ対策をより強固なものに変更しましょう。

この段階の対策は、「応急処置」的な方法でも構いません。被害拡大(二次被害発生)の危険性が無くなった段階で、本格的な再発防止策の策定に移行しますので、とにかく漏洩状況を深刻化させない対策が求められます。

また、漏洩したマイナンバーの悪用を防ぐための、再発行手続きが必要です。こちらに関しては6「マイナンバー再発行に伴う申請作業」で説明します。

4 所有者への連絡

こちらも、2・3と並行して進めるべきものです。

情報漏洩を起こした企業で多く見受けられるのは、漏洩した可能性のあるユーザー(顧客)に対しての連絡に時間を要してしまうケースです。これは、「“可能性”の段階で連絡してしまうことで無駄に不安を煽ってしまう恐れがある為」などと説明されますが、全くの間違いです。

可能性の段階であっても情報漏洩の疑いがあるのであれば、所有者に対し事実を開示する事は当然です。その後の調査で漏洩が確認できなければ、再度「調査の結果安全が確認できましたのでご安心ください」といった内容の連絡をすれば済む話です。

情報の所有者に対し、「この様な状況ですがきちんと調査・対応を進めています」と真摯に向き合うことが、企業の信頼に繋がるのです。

5 再発防止策

1~4の対応が完了した後は、すぐに再発防止策の策定を進めましょう。

注意点としては、一度破られた管理方法と同レベルの対策を講じても意味がありません。その前段階で侵入・持ち出しを防ぐような新たな対策が必要となります。

6 マイナンバー変更手続きに伴う申請

最後は漏洩による悪用を避けるため、マイナンバーの「変更」を行う場合の対応です。

再発行手続きでは、企業・漏洩の被害者双方に負担が発生します。漏洩件数によっては、経営を圧迫しかねないインシデントですので、“個人情報漏洩に毛が生えた程度”の様な甘い認識は改めましょう。

企業が行うマイナンバー再発行対応

  1. 警察へ届け出
  2. 届け出の受領番号が記された漏洩(紛失)証明書を発行してもらう
  3. 所有者へカード再発行手数料振込先を確認
  4. 賠償の準備
  5. 上記内容を所有者へ通知し、再発行手続き完了までをサポート

マイナンバー所有者(漏洩被害者)が行う再発行対応

  1. 自治体窓口での変更手続き
  2. カード再発行申請
  3. カード再発行手数料の支払い
  4. 変更したマイナンバーを会社等へ申請(必要であれば)

マイナンバーの漏洩も近いうちに起こり得る

情報漏洩はいくら防ごうと対策を講じても、新たな手法で起こり得るものです。情報漏洩は防ぎきれないものと認識を改めるようにしましょう。

日本のマイナンバー制度では、番号事態が漏洩したとしても悪用される危険性はありません。しかしこれは、今後他の個人情報と結びつきが進むことで変わってきます。利便性と危険性は表裏一体であるということを忘れず、情報を預かる責任の重さを今一度考えるべきなのです。


SNSでもご購読できます。