最近よく耳にする「マイナンバー」とは?(前編)

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザーの佐々木伸彦です。

最近いろいろなメディアで取り上げられるようになった「マイナンバー」について、2回に分けて、ご紹介します。

マイナンバーといえば、テレビコマーシャルなども流されるようになったことから、この言葉を気にする人も増えてきたと思います。

マイナンバーとは、日本に住民票を持つ全ての人に配布される12桁の個人番号のことです。住民それぞれに一意の番号を割り振ることで、社会保障や税、災害対策といった行政手続きを効率的に行えるようにすることが目的となっています。例えば、これまで社会保障の申請を行う際には、別途住民票を取得し、申請書類に添付する必要がありましたが、これからは、そうした手続きを省くことができるようになります。

このように説明すると、市町村など行政機関以外には無関係の仕組みのように思えるかもしれませんが、そうとは限りません。給料を支払う(受け取る)ときには、税が、福利厚生には社会保障制度が関わってきます。一例を挙げてみると、今後「年末調整」の手続きを行うときにも、従業員のマイナンバーが必要になってくることになります。そのため、民間企業、特に人事や総務の担当者にとって無縁ではない話となるのです。

このマイナンバー制度が本格的に始まるのは、2016年1月の予定です。それに先立って、2015年10月から、私たち一人一人に、「通知カード」という形でマイナンバーの通知が始まる予定となっています。少なくともそれまでには、自社内のどの業務で、どのようにマイナンバーを扱うかという方針や担当者、プロセスを決めておかなくてはならないことに注意してください。
 
民間事業者がマイナンバーを取り扱う際のポイントは?

ここで注意したいのは、マイナンバーの利用目的は行政手続き、それも税、社会保障、災害対策の3分野とされており、それ以外の範囲での利用は禁止されていることです。前述した通り、民間企業でも、法定調書の提出などに関連して従業員やその家族のマイナンバーを扱う必要があります。しかし、それ以外には利用されないよう、マイナンバーの利用や管理に関するプロセス、責任者を明確にする必要があります。

具体的には、マイナンバーを扱う事業者には安全管理措置が求められます。安全管理措置とは、大雑把に「セキュリティ対策」と呼び変えてもいいかもしれません。社内で取り扱うマイナンバーが、外部からの不正アクセスや内部犯行によって漏えいすることのないように、組織的、人的、物理的、技術的な安全管理措置が必要になってきます。もし、こうした措置を講じずにマイナンバーを含む個人情報の漏えいが発生した場合には、最大4年以下の懲役や200万円以下の罰金という形で、罰則も定められています。

こうした動きを背景にして、企業の担当者からは「取り組みの必要性は理解しているが、具体的に何をすればいいのか分からない」という悩みをよく耳にすることが増えています。

さらに踏み込んで、「企業の担当者が一番気にしているのは、リスクが明確に見えないこと。つまり、もしマイナンバーを含む情報が漏えいしたときの被害が何かが見えていないこと」を悩まれているのだと考えています。

被害が明確になりにくい分、現状、対策にかけるコスト算出は難しいですが、去年、通信教育事業者で発生した情報漏洩事件でのように、個人情報の漏洩による実害以上に問題となるのは情報の管理責任です。罰則規定では、外部からの不正アクセスや内部不正の手段によらず、個人情報の管理責任は厳しく問われることになっています。管理責任が問われる以上、ガイドラインに従い、必要なセキュリティ施策を講じることが重要だと考えています。

では、実際に、どのような対応をしていけばいいのでしょうか?

まず「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(PDFファイル、「特定個人情報保護委員会ウェブサイト」 http://www.ppc.go.jp/notice/ へのリンクです)を参照することをおすすめしています。ここでは、マイナンバーを含む個人情報をどのように保護していくべきかを、具体例とともに紹介しています。

このガイドラインを確認し、必要なセキュリティ対策を実施するが大切であると理解すると、マイナンバー対応も、基本的にはこれまでのセキュリティ対策の延長線上にあることが分かると思います。

このガイドラインを紹介するときに、「多くの企業では、既に何らかの個人情報保護対策に取り組んでいると思います。すでに情報セキュリティマネジメントシステム(ISMS)やプライバシーマークといった枠組みでの対策を実施している組織であれば、その延長で見ていくことによって、差分がどこかを見極め、そこをきっちり埋めていくいい機会になるのではないでしょうか」と話をさせていただいています。

そして、「マイナンバー制度対応」という言葉に振り回されることなく、冷静に対処することを勧めています。

(ちなみに、国の機関や地方公共団体、登記法人組織などの法人には、13桁の「法人番号」が通知されることになっています。この法人番号は、個人番号とは異なり利用範囲の制約がなく、誰でも自由に利用することができます)

これまで個人情報に関する対策を一切してこなかった組織では、これを機会に、まずはガイドラインに従い、セキュリティ施策の実施をはじめることはいかがでしょうか?

次回の後編では、これまでの個人情報保護法対応とマイナンバー対応との「差分」について説明します。

後編: マイナンバー対応は情報漏えい対策見直しのチャンス 

関連情報: マイナンバー制度のスタートで重要度を増す総合セキュリティソリューション

著者: マカフィー株式会社 サイバー戦略室シニア・セキュリティ・アドバイザー 佐々木 伸彦

        CISSP・CISA・LPIC-3 Security

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速