ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2016/01/26 掲載

“JALの初動対応、日本年金機構の内部リークに学べ” マイナンバー漏えい時の対策

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2016年1月より本格運用が開始されたマイナンバー制度。企業の実務担当者とすれば、システム面だけでなく、運用面での懸念事項や対応策を整理しておきたいところだ。マイナンバーをはじめとする(特定)個人情報漏えいを防ぐ管理上の問題点や、マイナンバー保管をクラウド事業者に依頼する企業の注意点、さらには、個人情報漏えいの際の対応や危機管理・リスクマネジメントはどうすべきなのか。一般財団法人 日本情報経済社会推進協会(JIPDEC) 常務理事 坂下 哲也氏、ロケットワークス 代表取締役の岩村 昭英氏、エルテス 代表取締役 菅原 貴弘氏が議論した。
photo
日本情報経済社会推進協会(JIPDEC)
常務理事
坂下 哲也氏

マイナンバーが漏えいしたら何が起こるのか?

 1月から運用が開始されたマイナンバー制度。現在懸念されていることの一つが、「マイナンバーの漏えい」だろう。2015年7月に内閣府が実施した「マイナンバー制度に関する世論調査」でも、「個人情報の漏えいによりプライバシーが侵害される恐れがある」「マイナンバーや個人情報の不正利用により被害に遭う恐れがある」ことが不安だと回答したユーザーは、7割を超えている。

 坂下氏は、マイナンバーが漏えいする原因として以下の可能性を挙げた。

「国や自治体のネットワークはインターネットと隔離されており、さらに、総務省の指示により、各自治体はマイナンバーを利用するネットワークを物理的にインターネットと分離する準備を進めているところだ。現在のところ、漏えいリスクが高いのは、インターネットに接続できる環境でマイナンバーを取り扱う企業や組織、個人がマルウェア等に感染する場合や、ユーザー自身がむやみに番号を教えてしまう場合、通知カードやマイナンバー付き住民票を紛失、盗難される場合などが考えられる」(坂下氏)

photo
エルテス 代表取締役 菅原 貴弘氏

 では、漏えいしたマイナンバーが悪用される可能性や、その場合に考えられる被害はどのようなものか。坂下氏は、「12ケタの番号そのものは、漏えいしても何も起きない」と語る。

「問題は、12ケタの番号が、氏名や住所、または生年月日、性別等と組み合わされた場合に、“一生変わらない識別子”が漏れたことになる。別の場所から漏れたマイナンバー以外の情報と、マイナンバーを組み合わせる“名寄せ”の可能性も考えられる。これにより、自分の知らないところで自分像が勝手に作られていく、といったことが考えられる」

 また、菅原氏は、漏えいによる「直接的な被害」よりも、世間の注目に便乗した詐欺の可能性に言及した。

「『あなたのマイナンバーが漏れていますよ』といってマイナンバーを盗んでいく詐欺行為をはじめ、悪意のある人間による間接的な被害にも目を配る必要がある」(菅原氏)

 そして、岩村氏は、プライバシー保護の問題があらゆる分野に広がっていく可能性を挙げた。

photo
ロケットワークス 代表取締役 岩村 昭英氏

「医療情報やDNA情報など、秘匿性の高いプライバシー情報とマイナンバーが結びつくことの懸念や、たとえば、オリンピックで機運の高まるテロ対策とプライバシー保護の問題など、インターネットのテクノロジーの進化による利便性とプライバシー保護の問題が様々な分野で取りざたされることが考えられる」(岩村氏)

 今のところ、危険やリスクが明確に見えない点が、かえってユーザーの不安を高めている面がありそうだ。

マイナンバー保管をクラウド事業者に依頼する企業の注意点

 次に、制度導入後の運用についてだ。マイナンバーの管理、とくに業務委託に関する注意点について、坂下氏は以下のように語る。

「クラウドにマイナンバーを保管する場合、クラウドから情報が漏洩しても、クラウド事業者が、預けられた情報がマイナンバーと知らない場合は、責任を問われない場合がある。一方、クラウド事業者がマイナンバーと知って情報を預かる場合、漏えいした場合に、委託側、受託側のどちらが責任を負うかが問われることになる」(坂下氏)

 その際は、厳重に管理しているといえる状態で保管されていたか、保管方法やデータの暗号化といった漏えい対策がなされていたか、などがポイントとなってくるという。そして、菅原氏は、受託側の事業者のリテラシーの「差」をリスクとして上げる。

「マイナンバーの保管を委託する際のリスクは、事業者間でリテラシーにバラつきがある点を委託側がどう見極めるか、また、漏えいした場合の責任分界点(どちらの責任で漏えいしたのか)をどう考えるか、きちんと整理する必要がある。個人利用の場合は、クラウドサービスから情報が漏えいした場合、サービス側の責任か、自分の管理(パスワードの管理が甘かったなど)に問題があるのか、線引きが難しい場合があるからだ」(菅原氏)

ルールの整備、業務プロセスの見直しも当然重要に

 また、岩村氏は、最低限のルールや対策のラインを決めることの重要性を挙げる。

「自動車の運転と同じで、気をつけていても事故は起こり得る。刑罰と風評のリスクからいえば、悪意があるかどうかでペナルティは重くなる。お酒を飲んだら運転しないというような、最低限のルール、対策を行うことが大事だ」(岩村氏)

 ルールという点では、坂下氏は、業務フローの重要性を指摘する。

「業務プロセスを見直し、担当者が移動するなどして環境が変わってもトレーサビリティが保たれるよう、業務を標準化することが重要だ。業務を可視化すればリスクも可視化される。セキュリティ対策のレベルは、事業者によって異なるので一概に言えないが、業務委託の注意点については、税理士や商工会などがマイナンバーセミナーを実施しているので、不明な点があれば、いつでも相談することをおすすめする」(坂下氏)

【次ページ】JAL、日本年金機構の情報漏えいはなぜ起こったか?

関連タグ

関連コンテンツ

記事
個人情報保護・マイナンバー対応

価値が高まるパーソナルデータ、情報銀行にまつわる2つの課題を克服する

情報活用の重要性が高まる中、パーソナルデータの価値は急速に高まっている。ただし、その活用には課題がある。それが、法規制と分析手法の構築だ。日本では2018年に発表された「情報銀行に関する指針」で認められた範囲でしか情報を利活用できない。さらに、より大きな成果を上げるには、各企業が独自に分析手法を編み出す必要がある。ここでは、非常に難しいこの2つの課題をいかに克服すればよいのかを解説していこう。

記事
個人情報保護・マイナンバー対応

個人情報保護法「改正ポイント6点」、国際比較でわかりやすく罰則強化などを解説する

2022年4月に個人情報保護法が改正された。個人情報の取り扱いが厳しくなり、企業に課される責任や義務、罰則が強化された。個人情報の取り扱いを誤れば法的な制裁だけでなく、社会的な信頼を失い、ビジネス継続すら危ぶまれることも考えられる。さらに日本の法律への対応だけでなく、海外に事業を展開する場合はその国の法律にも対応する必要がある。本稿では、2018年に施行されたEU一般データ保護規則(GDPR)や、直近では2022年6月に改正となったタイ個人情報保護法(PDPA)など、海外における個人情報保護法の内容と比較しつつ、日本における改正法のポイントを解説する。

記事
個人情報保護・マイナンバー対応

「GDPR」施行目前!グローバル企業は個人データ保護をどう進めるべきか

2018年5月の「EU一般データ保護規則」(General Data Protection Regulation:GDPR)施行まで、あと約1年となった。EUに支社等を構えるグローバル企業はもちろん、インターネットを経由してEU域内に商品やサービスを提供する企業にとっては顧客の個人データの取扱いについて影響の大きい制度となる。「個人データ保護に関して、最も厳しい法令の一つです」と語るのは、デロイト トーマツ リスクサービス シニアマネジャーの大場敏行氏だ。企業の現場で実務的にどのような対応を行う必要があるのか、大場氏がポイントを解説した。

記事
個人情報保護・マイナンバー対応

Privacy Shield 2.0とは何か? EU・米国間の新プライバシー保護の枠組みを解説する

米国とEUは3月末、プライバシー保護・データ転送に関する新たな枠組みの「原則」において合意したことを共同で発表した。2020年7月に失効した旧枠組み「EU-US Privacy Shield(以下、Privacy Shield)」に取って代わる「Privacy Shield 2.0」とも呼ばれる新しい枠組みに関する進展であり、海外メディアはGAFAMなどテック企業にとっての安心材料になるだろうと報じている。この新しい枠組みとはいかなるものか。

記事
個人情報保護・マイナンバー対応

改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ

EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。

記事
個人情報保護・マイナンバー対応

アップルの「児童ポルノ検出技術」計画が延期、なぜ全米から批判されたのか

米テック大手のアップルは、自社のデバイスやエコシステムにおいてプライバシーを「基本的人権」と位置付け、「顧客が自分の情報を自分でコントロールできること」をウリにするマーケティングを展開してきた。同社にとってプライバシーは、ライバル企業との競争において優位を示す重要な役割を果たしてきた。そのアップルが8月に、自社デバイスにおける児童への性的虐待画像(児童ポルノ)検出技術を2021年後半にiOSおよびmacOSデバイスで展開すると発表し、批判を浴びて実装延期に追い込まれた。何が問題になったのか。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample