開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/09/24

ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段

日本では2015年10月から、国民一人ひとりに12桁の個人番号(マイナンバー)が通知され、2016年1月から使用が開始される。米国では既に80年前から、日本のマイナンバーに相当する社会保障番号(ソーシャルセキュリティナンバー)が市民や永住者などに対して発行され、運用されてきた。ガートナー コンサルティング バイスプレジデントのダグ・シモンズ氏は、「日本のマイナンバー制度と米国の社会保障番号制度には多くの共通点がある。これからマイナンバーに取り組んでいくに当たり、米国の過ちから是非学んでいただきたい」と語る。

執筆:レッドオウル 西山 毅

執筆:レッドオウル 西山 毅

レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama

番号漏えいで1000万ドルもの罰金を科せられた企業も

photo
ガートナー
コンサルティング
バイスプレジデント
ダグ・シモンズ氏
 「ガートナー セキュリティ&リスク・マネジメントサミット2015」で登壇したシモンズ氏によれば、米国ではここ何年かの間に「悪い意味で目を覚まされるような事件が多発している」という。

 たとえば2014年、消費者情報の収集を専門に行う米国企業が、約10万件の社会保障番号を盗まれるというデータ漏えい事件を起こしてしまった。そこで監督官庁である連邦取引委員会(FTC)が調査したところ、この企業は自社のホームページ上で堅牢で高度な情報セキュリティ管理対策を採っていると謳っていたにも関わらず、十分なセキュリティ対策を講じていなかったことが明らかになった。

「この企業は50万ドル(約6,000万円)の罰金を科され、監督対象配下に10年間も置かれることになった。とはいえ、これぐらいの制裁ならそれほど大きな打撃ではないかもしれない。しかし顧客からの信頼は失われ、同社のブランドイメージは大きく失墜した。結果、大幅な売上低下につながることになった」

 また同じ2014年の11月には、低所得顧客層向けにプリペイド式の携帯電話サービスを提供していた通信会社2社が、米国連邦通信委員会(FCC)から、実に1,000万ドル(約12億円)もの罰金を科せられた。

「FCCによれば、これらの企業は社会保障番号を含む顧客の個人情報を、十分に保護されていないインターネット上のサーバに保存していた。そうした雑な情報管理が非常に多額の罰金を招き、先の事例と同様にブランドイメージにも甚大な被害が及ぶことになった」

 翻って日本を見てみれば、2015年6月、日本年金機構がサイバー攻撃に遭い、多くの基礎年金番号が盗まれるという情報漏えい事件が発生している。

「マイナンバー制度は、まず社会保障と税に関する行政手続きを効率化することに主眼が置かれているが、今後は個人の医療データや金融情報とも結び付くなど、用途は拡大していく(詳細記事)。米国企業の事例でも明らかなように、日本企業は“万一マイナンバーを漏えいさせてしまった時に、自社は致命的なダメージを受ける可能性がある”ということを、十分に理解しておかなければならない」

ITインフラをリスク評価し、マイナンバー・プログラムを確立する

 それでは実際にマイナンバー制度には、どのように対応していけばいいのか。

 この点についてシモンズ氏はまず、「非常に重要なポイントは、マイナンバーはクレジット番号かのように扱う必要があるということだ。機密情報であることを認識し、強力に保護していただきたい」と強調する。

「ただしその際にまだ世の中でテストされていない新しい技術を導入しなければならないということではない。とはいえ既存の技術でも、自社にとっては新しい技術を導入しなければならなくなるケースは十分にあり得る」

 具体的な取り組みのファーストステップとしては、現在のITインフラのリスク評価を行う必要がある。システムやアプリケーション、データベースを対象に、マイナンバーに対応するために修正しなければならないITリソースを特定するということだ。そしてそのためには、“マイナンバー・プログラム”を確立することが求められる。

「複数事業部から主担当者を任命し、マイナンバーの取り扱い方針を決めて文書化し、社内に認知を徹底させるという取り組みだ。マイナンバー管理のガバナンスも構築していく。また人事部門や顧客管理部門など、マイナンバーの影響を受ける部門を巻き込んで、組織横断的に取り組んでいく必要がある。これは一定期間で完結する“プロジェクト”ではなく、全社を挙げて永遠に続けていかなければならない取り組みだ。だから“プログラム”と呼んでいる」

米国でDLPの実装が急増している理由とは

 続いてシモンズ氏は、マイナンバーを保護するための具体的な手法について言及した。

「まず挙げられるのがデータのマスキングもしくはハッシングで、これらが最もシンプルなデータ保護の方法だ。マイナンバーのような機密情報を失う典型的なパターンとして、開発/テスト環境で本番データを使ってしまうことが挙げられる。そこでデータのマスキングもしくはハッシングを施して難読化を図っておく。しかしそれ以前の問題として、そもそもテストデータにマイナンバーを含めては決してならない」

 そして情報の分類とラベル付けを行う。つまりマイナンバーを、クラウド環境を含めた社内システムのどこに保存するのかを決め、データベース内でマイナンバーが該当するフィールドを“機密扱い”にして分類し、ラベル化するのだ。

「かなり大変だが、非常に大切な取り組みだ。今後企業がクラウドベースのサービスをさらに活用していく中で、ますます重要になっていく施策だと言える」

【次ページ】マイナンバーを保護するネットワーク・ゾーニング・アーキテクチャ

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!