“待ったなし”のマイナンバー対策社内情報資産を守れ!!

概要

2016年1月から、マイナンバー(社会保障・税番号)制度がスタートした。対策は順調だろうか。

同制度では最重要情報とされる「個人番号」を安全に管理するため、万全のセキュリティ対策が企業・個人事業者に求められている。だが、「何をすればいいのか」「どこまでやればいいのか」など、不安も尽きない。

時間の猶予はない。最低限、中小・零細企業などが取り組むべきセキュリティについて徹底解説しよう。

マイナンバーとは

まず、マイナンバー制度の概要を確認したい。

同制度は、住民票を有するすべての人(外国人も含む)に個人番号を与え、行政の効率化を目指すものだ。当面は、「税金」「社会保障」「災害」の3分野で利用される。

源泉徴収票の作成や雇用保険の手続きなど、これら3分野に関する行政書類では個人番号の記載が必要とされる。このため、給与支払いや支払調書などを発行するすべての民間事業者に、個人番号を集め、これを安全に利用・保管、そして廃棄まで厳密に管理することが義務付けられているわけだ(表1)。

特に、同制度では「個人番号は最重要の『特定個人情報』である」としており、これを預かる事業者は個人番号の厳重管理が求められている。

万一、個人番号が漏えいするような不祥事を起こした場合、大手や中小企業、個人といった事業規模に関係なく厳しい罰則が科される。

施行前は、従業員やその家族の個人番号収集に意識が向いていた事業者も、制度スタート後は「どう個人番号を保管し、どうセキュリティを守ればよいのか」が切実な課題として現実味を帯びてきたはずだ。

とはいえ、マイナンバー対策としてのセキュリティには、様々な考え方がある。例えば、収集した個人番号をペーパーリストとして金庫に一括保管し、担当者だけが管理するという方法も認められる。あるいは、個人番号の利用・管理をすべて税理士や業者に任せる事業者もいることだろう。

だが、マイナンバーのセキュリティの本質は、単に「個人番号だけを守ればよい」というものではなく、「周辺情報も含めて社内の情報資産を保護する」こと。この意味で、マイナンバー対策とは社内セキュリティを全面的に見直すことといえる。

<表1:マイナンバー対策として取り組むべき主な実務作業>

実務 概要
①個人番号収集 ・収集対象は、従業員とその扶養家族、パートとアルバイト、取引先(支払調書の発行先)
・利用目的の明示、本人確認の確実な履行
②利用・提供 ・当面、「税」「社会保障」「災害」の行政書類での利用に限定
③保管 ・番号管理者や取扱者の明確化・適切な「安全管理措置」の遂行
④廃棄 ・不要となった際には、迅速かつ確実に番号情報を廃棄

マイナンバーに潜むリスク

なぜ、マイナンバー制度では社内情報をすべて守る必要があるのか。理由は、「個人番号にひも付いて様々な情報が一括管理される」こと。

そもそも、個人番号だけでは12桁の数字の羅列にしか過ぎない。ここに氏名や住所、家族構成、人事や給与情報、銀行口座番号といった様々な個人情報が関連付くことで、犯罪者にとっては価値が出る。これら豊富な情報を悪用して金銭をだまし取れるからだ。

実際、「盗み出された個人情報はブラックマーケットで売買されており、そこでは個人に関する様々な情報が蓄積されリスト化されている」(セキュリティメーカーの研究員)。これまで時間と手間をかけて断片的に手に入れてファイル化してきた個人情報が、マイナンバー制度により簡単に手に入る可能性が出てくる。

これほど犯罪者に魅力的なことはなく、逆に事業者にとって危険でリスキーなことはないだろう。

しかも、犯罪者が重きを置くのは自分達にとって価値のある情報が存在するかどうかであり、そのため狙われる原因として会社の規模や知名度はまったく関係がない。

情報セキュリティについて中小企業が口にする「大企業ではないから関係ない」「有名な会社ではないので狙われるわけがない」「盗まれて困る情報がない」といった理由は的外れであり、すべての企業が狙われる可能性がある。

マイナンバー制度のセキュリティを検討する上では、こうしたリスクを意識することが欠かせない。このことは、セキュリティの専門家も強く警鐘を鳴らしていることだ。

対策のベースは「安全管理措置」

では、具体的なセキュリティとして何をどこまで対策すればよいのか。ここで役立つのが、内閣府外局の特定個人情報保護委員会が出した「安全管理措置ガイドライン」だ(図1)。

ガイドラインでは、マイナンバーの安全な管理と保管に関する措置がまとめられている。内容は多岐にわたるため、規模の小さな事業者にとっては全項目に取り組むことは負担が大きい。

そこで、セキュリティの専門家達が推奨している手法が、「ガイドラインの大事なポイントを抜き出して、セキュリティ環境を整える」こと。それだけでも「セキュリティのレベルは格段に向上する」という。

具体的には、社内のリスク要因を把握して、その中で社内の情報資産をいかに安全に保護するかが重要だ。ここでポイントとなるのは、「外部からの不正アクセス対策」「情報漏えいの防止対策」「機密データへのアクセス管理」など。

これらを導入すべき最低限の取り組みとしてセキュリティ環境を構築、あるいは現在のセキュリティ対策を見直すことが求められる。

図2では、実際に安全管理措置ガイドラインをベースに、前述の3項目に合わせて重要ポイントを抜粋。これにメーカー各社から製品化されているオフィス機器を上手く組み合わせることで、簡単かつ効果的にセキュリティ対策を講じることが可能だ。

<図1:特定個人情報保護委員会がガイドラインとしてまとめた講ずべき「安全管理措置」>

基本方針の策定・取扱規定等の策定
①組織的安全管理措置 ③物理的安全管理措置
・組織体制の整備
・取扱規定等に基づく運用
・取り扱い状況を確認する手段の整備
・情報漏えい等事案に対応する体制の整備
・取り扱い状況の把握
、および安全管理措置の見直し
・特定個人情報を取り扱う区域の管理
・機器および 電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏えい等の予防
・個人番号の削除、機器および電子媒体等の廃棄
②人的安全管理措置 ④技術的安全管理措置
・事務取扱担当者の監督
・事務取扱担当者の教育
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏えい等の防止

<図2:「安全管理措置」ベースのセキュリティ対応策と対応機器など>