特集

最新のIT技術情報や旬な話題をお届けいたします

【レポート】
企業に求められるマイナンバー対策

2015年5月13日~15日に東京ビッグサイトで開催された「第12回 情報セキュリティEXPO (IST)春」は、情報セキュリティに関する国内外の製品が一堂に会する日本屈指の専門展とあって 、大勢の参加者が出展企業の担当者と活発な商談を繰り広げていた。また、今年は2016年1月の開始を目前に控えたマイナンバー対策に大きな関心が集まり、各企業のブースも例年以上の熱気に包まれていた。

マクニカネットワークスブースでもプレゼンテーションが行われた。テーマはずばり、「企業に求められるマイナンバー対策」。夕刻の、そろそろ帰途に向かう時間にも関わらずプレゼンテーションコーナーは立ち見が出るほどの盛況で、聴講する真剣な眼差しからはマイナンバーをどのように管理すればいいのか、どんな対策があるのかといった企業担当者の関心の高さが見受けられた。

そこで今回は、プレゼンテーションで紹介されたマイナンバー対策の重要なポイントをいくつか振り返ってみる。

開始時点では利用範囲が限定される個人番号

2015年10月から順次配付されるマイナンバーは、2016年1月から運用が開始されるが、当初は、「社会保障」「税」「災害対策」の3分野における行政手続き、かつ法律や自治体の条例で定められた行政手続きでのみ使用することができる。一方で効率的な管理方法や対策をすぐに導き出すことはなかなか難しい。また、日本のマイナンバーに類する特定個人情報活用を既に行っている他国でどのような対策を行っているのかも気になるところだ。

プレゼンテーションに登壇したマクニカネットワークスの吉井は、「2016年1月の開始時点では利用範囲がかなり限定的な個人番号という位置付けになる」と語る。

企業などの一般事業者に限定した場合は、事業者が従業員などからマイナンバーの提供を受けて、「給与所得の源泉徴収票」「給与支払報告書」「健康保険・厚生年金保険被保険者資格所得」などの必要な書類に記載して、税務署長や市区町村長、日本年金機構などに提出する形となる。

「基本的には、日本国内の事業者は全てマイナンバーを取り扱うことになる。社会保険関係で約40帳票、国税関係で10帳票程度の合計50~60帳票程度が一般的な企業では対象となるだろう」と吉井は指摘する。

日常生活で個人識別番号として利用することは難しいマイナンバー

ところで、日本以外の国ではマイナンバー制度に該当する国民IDをどのように取り扱っているのだろうか。

例えば、米国ではSocial Security Number(SSN)が知られているが、日本とは異なり個人の申請によって発行される。申請ベースとはいえ、運転免許証取得や銀行口座開設、携帯電話の契約、アパートの賃貸契約などにも利用され、社会保障番号であると同時に事実上、日常生活における個人識別番号としても機能する面があるという。

また、韓国では住民登録番号制度を実施。これは、出生・国籍取得などを機に国が国民に対して付与するようになっており、日本のマイナンバー制度に近いが、パスポートや運転免許証・健康保険証などに記載されるとともに、民間が提供するサービスにも広く使われているため、こちらも事実上の個人識別番号として利用されている。

それらに対し、日本のマイナンバーは利用範囲が限定されている上に、利用目的を超えて収集する行為は禁止されており、日常生活の中で個人識別番号として利用することは今の時点では難しいと吉井はいう。

マイナンバー法における罰則は企業を守るためのもの

次に吉井は、日本の個人情報保護法と番号法(マイナンバー法)との違いについて説明した。個人情報保護法は5,000件以上の個人情報をデータベースとして所有し、事業に用いている事業者が対象で、違反すると6ヶ月以下の懲役または30万円以下の罰金(是正命令に従わない場合の間接罰)が科せられるが、マイナンバー法は個人および事業者が対象となり、4年以下の懲役もしくは200万円以下の罰金または併科(最も重い場合)となっている。

事業者における個人情報保護法と番号法(マイナンバー法)の違い

4年というのがポイントで、仮に4年の刑がくだされた場合は原則として執行猶予が付かないため、罰則の重さの違いが歴然だ。ただし、個人情報保護法は顧客や会員データ、従業員の情報など保護対象範囲は広いが、マイナンバー法は主に従業員の番号情報に限定されている。

「マイナンバー法での罰則は事業者または個人が対象となるが、“正統な理由なく”や“不正な利益を図る目的で”など、いわゆる故意でなければ対象にはならない。かつ、個人による内部犯行が原因で情報漏えいがあった場合、経営者や企業に罰則がすぐさま適用されることはまずないと考えられる」という吉井。マイナンバー法における罰則は企業を守るためのものであり、罰則対策のために過剰な投資をする必要はない、とアドバイスする。

とはいえ、マイナンバーはクリティカルな公的情報に紐付くため、ブラックマーケットでの価値が高まり、内部犯行者などが不正に窃取する動機も生まれることが予想される。マイナンバーが漏えいすることで企業の信用も傷付く。

当然、サイバー攻撃も想定されるが、今回のマイナンバー制度では当面3年間は社会保障・税・災害対策に利用が限定されるため、攻撃者にとってそれほど魅力のある情報とはならないようだ。しかし、将来的に米国のSSNや韓国の住民登録番号制度のように個人識別番号として利用されるようになれば、攻撃者にとってのROIが高まり事情は変わってくるだろうと吉井は予測する。

マイナンバー対策で最も重要となる技術的安全管理措置

そして、もう一つの重要なキーワードは事業継続だという。「仮にマイナンバー情報が故意に、かつシステム内から全て消去されてしまったら、給与支払いや社会保障事務処理が停滞してしまい、オペレーショナルリスクが高まる可能性がある」

マイナンバーを再び収集するにあたり、社員に利用目的を改めて伝えた上で個人の身分証明書の提示を受けマッチングを行って確認するなど、手続きに手間と時間がかかることになる。開始後数年も経過すれば、個々人で所有するマイナンバーカードもどこかにしまい込まれて迅速な回収も難しくなるだろう。

まさにこれが、最近問題視され始めた標的組織のシステムなどを破壊してビジネスを阻害する「破壊型攻撃」の類型の手口として懸念されているという。

吉井は、「普段はマイナンバー自体の情報漏えいを防止し、漏えいしてしまった場合の経路や証跡確保もしっかりと準備しながら再発防止策を検討することが必要で、事業継続のために万一の破壊型攻撃への対応も考慮すべき」と段階的な対策を推奨する。

マイナンバー運用におけるリスク軽減のためには段階的な対策が有効

そこで重要なのは、セキュリティ対策のための過剰投資と、セキュリティ確保に向けた過小評価を回避するためのジレンマの解消だ。内閣府外局の第三者機関の特定個人情報保護委員会が公開している、「特定個人情報の適正な取り扱いに関するガイドライン」などが参考になるという。そこでは別添資料として、マイナンバーを取り扱う際に検討すべき4つの安全管理措置(組織的・人的・物理的・技術的)が明記されている。「まずはこれを最低ラインとして対応すべき」と吉井は断言する。

その中でも、最も複雑でITのノウハウが必要とされるのが「技術的安全管理措置」の領域である。マイナンバーを自社で持たず、取扱事務を第三者に委託(BPO)することは可能だが、委託元は委託先に対し必要かつ適切な監督を行う義務がある。それをセキュアに行うためにも、技術的安全管理措置は大きく4つの対策に分かれている。1つ目はアクセス制御、2つ目はアクセス者の識別と認証、3つ目は外部からの不正アクセス等の防止、4つ目は情報漏えい等の防止だ。

「Macnica Networks DAY 2015」でもマイナンバー対策をテーマのセッションが

ここは押さえておきたい! 企業のマイナンバー対応におけるセキュリティ対策

それぞれに注目すべき重要な対策ポイントがあり、それに応じた具体的な技術的施策が必要になるが、今回のプレゼンテーションコーナーでの限られた時間ではその概要しか触れることができなかった。

そのため、マクニカネットワークスでは、7月8日(水)開催する毎年恒例のプライベートイベント「Macnica Networks DAY 2015」で詳細かつ具体例も交えたセッションを設ける予定だ。今回プレゼンした吉井が、「ここは押さえておきたい! 企業のマイナンバー対応におけるセキュリティ対策」と題したテーマで再び登壇する。企業がマイナンバーを管理する上で求められるセキュリティ要件とその対策について、持てる知見を全て公開したいと意気込んでいる。

今年で記念すべき第10回目を迎えるMacnica Networks DAYは、サイバーセキュリティのみならず、モバイル・クラウド・IoT(Internet of Things;モノのインターネット)なども含め、企業の成長を支えるIT技術を活用し、企業のこれからのIT施策に役立つ全22セッションを用意。例年以上に内容の充実が期待されている。また、世界で注目を集める先進のサイバーセキュリティに関するキーマンが来日するほか、ユーザ企業による事例講演なども予定している。

詳しい情報や参加申し込みはこちら(Macnica Networks DAY)からアクセスが可能だ。
 
もう待ったなしのマイナンバー対策。その情報収集機会として、ぜひマクニカネットワークスのノウハウを存分に活用していただきたい。

いつか見た景色 from Staff's Albums