開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2016/01/26

“JALの初動対応、日本年金機構の内部リークに学べ” マイナンバー漏えい時の対策

2016年1月より本格運用が開始されたマイナンバー制度。企業の実務担当者とすれば、システム面だけでなく、運用面での懸念事項や対応策を整理しておきたいところだ。マイナンバーをはじめとする(特定)個人情報漏えいを防ぐ管理上の問題点や、マイナンバー保管をクラウド事業者に依頼する企業の注意点、さらには、個人情報漏えいの際の対応や危機管理・リスクマネジメントはどうすべきなのか。一般財団法人 日本情報経済社会推進協会(JIPDEC) 常務理事 坂下 哲也氏、ロケットワークス 代表取締役の岩村 昭英氏、エルテス 代表取締役 菅原 貴弘氏が議論した。

photo
日本情報経済社会推進協会(JIPDEC)
常務理事
坂下 哲也氏

マイナンバーが漏えいしたら何が起こるのか?

 1月から運用が開始されたマイナンバー制度。現在懸念されていることの一つが、「マイナンバーの漏えい」だろう。2015年7月に内閣府が実施した「マイナンバー制度に関する世論調査」でも、「個人情報の漏えいによりプライバシーが侵害される恐れがある」「マイナンバーや個人情報の不正利用により被害に遭う恐れがある」ことが不安だと回答したユーザーは、7割を超えている。

 坂下氏は、マイナンバーが漏えいする原因として以下の可能性を挙げた。

「国や自治体のネットワークはインターネットと隔離されており、さらに、総務省の指示により、各自治体はマイナンバーを利用するネットワークを物理的にインターネットと分離する準備を進めているところだ。現在のところ、漏えいリスクが高いのは、インターネットに接続できる環境でマイナンバーを取り扱う企業や組織、個人がマルウェア等に感染する場合や、ユーザー自身がむやみに番号を教えてしまう場合、通知カードやマイナンバー付き住民票を紛失、盗難される場合などが考えられる」(坂下氏)

photo
エルテス 代表取締役 菅原 貴弘氏

 では、漏えいしたマイナンバーが悪用される可能性や、その場合に考えられる被害はどのようなものか。坂下氏は、「12ケタの番号そのものは、漏えいしても何も起きない」と語る。

「問題は、12ケタの番号が、氏名や住所、または生年月日、性別等と組み合わされた場合に、“一生変わらない識別子”が漏れたことになる。別の場所から漏れたマイナンバー以外の情報と、マイナンバーを組み合わせる“名寄せ”の可能性も考えられる。これにより、自分の知らないところで自分像が勝手に作られていく、といったことが考えられる」

 また、菅原氏は、漏えいによる「直接的な被害」よりも、世間の注目に便乗した詐欺の可能性に言及した。

「『あなたのマイナンバーが漏れていますよ』といってマイナンバーを盗んでいく詐欺行為をはじめ、悪意のある人間による間接的な被害にも目を配る必要がある」(菅原氏)

 そして、岩村氏は、プライバシー保護の問題があらゆる分野に広がっていく可能性を挙げた。

photo
ロケットワークス 代表取締役 岩村 昭英氏

「医療情報やDNA情報など、秘匿性の高いプライバシー情報とマイナンバーが結びつくことの懸念や、たとえば、オリンピックで機運の高まるテロ対策とプライバシー保護の問題など、インターネットのテクノロジーの進化による利便性とプライバシー保護の問題が様々な分野で取りざたされることが考えられる」(岩村氏)

 今のところ、危険やリスクが明確に見えない点が、かえってユーザーの不安を高めている面がありそうだ。

マイナンバー保管をクラウド事業者に依頼する企業の注意点

 次に、制度導入後の運用についてだ。マイナンバーの管理、とくに業務委託に関する注意点について、坂下氏は以下のように語る。

「クラウドにマイナンバーを保管する場合、クラウドから情報が漏洩しても、クラウド事業者が、預けられた情報がマイナンバーと知らない場合は、責任を問われない場合がある。一方、クラウド事業者がマイナンバーと知って情報を預かる場合、漏えいした場合に、委託側、受託側のどちらが責任を負うかが問われることになる」(坂下氏)

 その際は、厳重に管理しているといえる状態で保管されていたか、保管方法やデータの暗号化といった漏えい対策がなされていたか、などがポイントとなってくるという。そして、菅原氏は、受託側の事業者のリテラシーの「差」をリスクとして上げる。

「マイナンバーの保管を委託する際のリスクは、事業者間でリテラシーにバラつきがある点を委託側がどう見極めるか、また、漏えいした場合の責任分界点(どちらの責任で漏えいしたのか)をどう考えるか、きちんと整理する必要がある。個人利用の場合は、クラウドサービスから情報が漏えいした場合、サービス側の責任か、自分の管理(パスワードの管理が甘かったなど)に問題があるのか、線引きが難しい場合があるからだ」(菅原氏)

ルールの整備、業務プロセスの見直しも当然重要に

 また、岩村氏は、最低限のルールや対策のラインを決めることの重要性を挙げる。

「自動車の運転と同じで、気をつけていても事故は起こり得る。刑罰と風評のリスクからいえば、悪意があるかどうかでペナルティは重くなる。お酒を飲んだら運転しないというような、最低限のルール、対策を行うことが大事だ」(岩村氏)

 ルールという点では、坂下氏は、業務フローの重要性を指摘する。

「業務プロセスを見直し、担当者が移動するなどして環境が変わってもトレーサビリティが保たれるよう、業務を標準化することが重要だ。業務を可視化すればリスクも可視化される。セキュリティ対策のレベルは、事業者によって異なるので一概に言えないが、業務委託の注意点については、税理士や商工会などがマイナンバーセミナーを実施しているので、不明な点があれば、いつでも相談することをおすすめする」(坂下氏)

【次ページ】JAL、日本年金機構の情報漏えいはなぜ起こったか?

個人情報保護・マイナンバー対応 ジャンルのセミナー

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!