2015年10月、マイナンバー制度が本格運用に向け始動しました。
各個人宛てに12桁のマイナンバーが記された通知カードが送付され、2016年1月からは実際に運用が開始される予定となっています。

今回は、マイナンバー制度の概要から、個人で行うべき漏洩対策まで解説していきたいと思います。

マイナンバーとは?

まずは、マイナンバーについて概要を確認していきましょう。

マイナンバー制度とは、簡単に言うと「国民一人一人に固有の番号を割り当てて、社会保障や、税等の諸手続を効率化する」ものです。

これによって、現在は各自治体や中央の行政機関においてバラバラに管理されている個人情報の連携が取れるようになり、各種サービスの利便性が向上すると考えられています。

マイナンバー制度のメリット

マイナンバー制度が導入されることで、社会保障や税金等の手続きを簡素化出来るだけでなく、住民票の取得などの行政の諸手続が簡単になる等のメリットがあります。また、災害発生時における安否確認など、行政対応においても迅速な対応が可能になることが期待されています。

マイナンバー制度の注意点

多数のメリットが期待されているマイナンバー制度ですが、導入に際しては特に“セキュリティ面”での注意点があります。

取り扱う側に伴う管理責任

まず、マイナンバーを扱う側の注意で点すが、マイナンバーの利用範囲は「行政手続きのみ」に限定されています。しかしながら、民間企業などにおいても従業員の「年末調整」を始めとする様々な行政手続きを行う必要があり、その際に今後は従業員のマイナンバーを記載する必要が出てくることが考えられます。

当然ながら、企業は従業員のマイナンバーを把握している状態となります。

マイナンバーは扱いに注意すべき高度な個人情報

ここまで読んできてお気づきの方もいると思いますが、マイナンバーは非常に高度な「個人情報」です。

なぜかというと、個人に固有の番号であり、またその番号は様々な行政サービスに関連したものであるからです。

行政サービスに関連すると言うことは、その人の住所や本籍地はもとより、所得税などの支払い状況や、社会保障の利用状況など、実に様々な行政情報がマイナンバーをキーにして取得することが出来るということなのです。

取り扱われるシーンの多さも危険性が増す要因

さらに、従来の個人情報と大きく違う点として、これまで「個人情報」と言えば、特定の組織や企業にのみ保持される情報であり、クレジットカードや、個人の住所・生年月日といった“ある程度限定的”な情報であったのに対し、マイナンバーは“行政手続き全般に関する情報”と連携し、あたゆるシーンで使用が想定されることが挙げられます。

つまり、従来の個人情報に比べ、非常に多くの重要な情報が含まれる、もしくはそれに繋がるキーとなるということです。

そのため、ひとたびマイナンバーの情報が外部に流出してしまうと、影響範囲も広く、また非常に高度なレベルの個人情報の漏洩繋がる恐れがあるのです。

マイナンバーを漏洩させないための7つの行動指針

では、具体的にマイナンバー情報の漏洩を防ぐためにはどのようにすればよいのでしょうか。

方法としては、一般的な情報漏洩対策と共通のものとなります。まず利用者側の観点として、IPA(独立行政法人情報処理推進機構セキュリティセンター)では、次のようなことに気を付けるべきと指針を示しています。

1 情報は持ち出さない

企業や組織の情報資産を外部に持ち出さない。

2 情報の安易な放置はしない

情報資産を暗号化等の対策をしないままに放置しない。

具体的には重要書類等を机の上に放置しない。パソコンを画面ロックしないまま放置しないなど。

3 情報の安易な廃棄をしない

情報資産を対策無きまま安易に廃棄しない。

消去等を必ず実施する。具体的にはパソコンの廃棄を行う場合は必ずハードディスク上のデータは消去し、物理的に破壊するなど。

4 不要な持込みの禁止

私用機器(パソコン等)を不用意に企業内に持ち込まない。

具体的には個人所有のノートPCを持込み、企業内のネットワークに接続するなど。

5 鍵をかけ、貸し借り禁止

個人に与えられたアクセス権などの権限を、許可なく他人に貸与や譲渡をしない。

具体的には、自分の持つユーザアカウントを他人に貸与するなど。

6 情報の公言の禁止

業務上知りえた情報を許可なく他人に公言しない。

具体的には、自分が担当する顧客の個人情報を他人に不要に話すなど。

7 まず報告

万が一に情報漏えいを起こしたら、自分で判断せず、まず報告する。

これらの徹底によって、個人が業務上扱うことの出来るマイナンバー情報も他の情報と同様に外部に不用意に流出させてしまうことは最小限に防止できるはずです。

サーバ側の対策も必要

image_server

また、これら利用者の観点からの情報漏洩対策とは別に、マイナンバー情報等を管理するサーバやデーターベースに対しての対策も行う必要があります。

情報資産の管理には情報セキュリティの3要素「機密性・完全性・可用性」が必要と言われています。

  • 情報にアクセスを許可された者だけが利用できる機密性
    (具体的にはアクセスアカウントとパスワードの設定等)
  • 情報が不正に改ざんされたりしておらず、適切に処理されていることを担保する完全性
    (デジタル署名などによる管理)
  • アクセスを許可された者が適切にいつでも利用できる状態にあることを担保する可用性
    (回線の冗長化やバックアップ等)

この利用者側の対策、そしてサーバやデーターベース等のシステム側での対策の2つを併せることでマイナンバーを含めた情報の流出のリスクは限りなくゼロに近づけられます。

おわりに

今後、民間サービスとの連携なども思案されているマイナンバー制度は、本来国民の生活を便利にするための制度です。しかし、取り扱い方を誤ると、とても危険な制度でもあるのです。

個人はもちろん、従業員情報を守る立場である企業にとっても、今後高度なセキュリティ対策が求められることでしょう。



【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。