なぜマイナンバー対策は必要なのか?
2016年1月に施行されたマイナンバー制度。マイナンバーを管理する義務が企業に求められています。マイナンバー管理の重要性について見てきましょう。
マイナンバーを利用するシーン
2016年1月に施行されたマイナンバー制度。住民票を有する全ての国民に割り当てられた12桁の番号のことです。社会保障や税、災害対策などの行政手続きにマイナンバーが必要になります。
政府はマイナンバーの施行に当たって、神経質なほどの詳細な管理措置を企業に求めており、経理・総務・人事・情報システム部門では、情報セキュリティ対策を含めた運用体制づくりが急務となっています。
たとえば企業は、マイナンバーの取扱規程等を策定しなければなりません。マイナンバーの取得、本人確認、転記、目的外利用の排除、廃棄、削除までをフロー化しなければなりません。誤って社員が「通勤手当」の申請などにマイナンバーを記入してしまった場合は、その返却の手順までマニュアル化しなければならないのです。
マイナンバーは、従業員の健康保険や厚生年金の加入手続きを行ったり、給料から源泉徴収して税金を収めたりするときに必要になります。
マイナンバー管理の重要性
なぜマイナンバーを厳重に管理する必要があるのでしょうか。
マイナンバーを含む個人情報は、重要度が高い「特定個人情報」とされています。なぜなら、他の個人情報と比べて、扱う情報の範囲や不正に扱われたときのリスクが高いためです。
万が一マイナンバーを漏洩させたり不正利用したりした場合には、重い罰則が適用されます。そのため、企業では、従業員のマイナンバーを安全に管理し、情報漏えい対策をしていく必要があります
マイナンバーのセキュリティ対策に必要な4つの対策
厳重なセキュリティ対策を行って管理することが求められるマイナンバー。そこで、個人情報保護委員会で『特定個人情報の適正な取扱いに関するガイドライン』を定めています。その中から、企業が行う必要がある「特定個人情報に関する安全管理措置」について見ていきましょう。
企業が行うべき4種類の安全管理措置
マイナンバー管理で行う安全管理措置を簡単にご紹介します。
組織的安全管理措置
組織的安全管理措置は、組織の中でマイナンバーをどう管理するのか、その組織体制や運用体制の整備などを指しています。中には、情報漏えいなどのインシデントに対応する体制づくりも含まれています。
人的安全管理措置
人的安全管理措置は、担当者に対して定期的な研修を行って、機密保持誓約を取ることです。マイナンバーを利用目的以外で使用せず、教育訓練を受講することなどが含まれています。
技術的安全管理措置
技術的安全管理措置は、技術的に見たときに必要な対策を示しています。詳しくはこのあと説明します。
物理的安全管理措置
物理的安全管理措置は、担当者以外がマイナンバー情報を取り扱えないように、物理的に対策をすることです。例えば、マイナンバーを取り扱うスペースを隔離、入退室管理を行ったり、盗難防止としてPCをワイヤーで固定したりします。
技術的安全管理措置でやるべき4つの対策
技術的安全管理措置として、大きく分けて4つの対策が必要とされています。
- アクセス制御
- アクセスユーザーの識別と認証
- 外部からの不正アクセスの防止
- 情報漏えいの防止
マイナンバー情報に触れられる人をシステム上で限定したり、取り扱うPCを限定したりします。また、外部からの不正アクセスを防ぐには、ウィルス対策ソフトが必要になります。情報漏えい対策としては、ログの管理・監視が有効でしょう。
ログ管理でできるマイナンバーの安全管理
技術的安全管理措置を見ても、ログ管理はマイナンバー管理において必要なセキュリティ対策であり、基本となる施策です。次は、ログ管理の機能と適用方法を見ていきましょう。
犯行の証跡調査
「ログ」とはITシステムの操作履歴の詳細データのことです。マイナンバーにおいては、個人番号を登録しているデータベースやファイルへのアクセス、参照、変更、削除などの操作記録のことになります。
これらログデータを利用することで、万が一マイナンバー情報が漏えいした際、アクセスした人物を特定し、犯行を立証することができます。そのログデータが改ざんされていないことを証明できる場合、裁判資料としても使用できます。
逆にログ管理の措置がなされていない場合は、基本的なセキュリティ対策が整備されていない企業として、著しいブランドイメージの悪化や社会的糾弾を受けることになるでしょう。取引の停止や入社応募者数の激減などが予想されます。
内部犯行の抑止
マイナンバーは、外部からの攻撃より内部からの犯行が多いと予想されます。すでにはマイナンバーを売り飛ばすブラックマーケットが確立されており、悪意ある人間にとっては極めて魅力的な情報となります。しかし、内部犯行はセキュリティ対策面では極めて難しいジャンルとされています。
この内部犯行対策として効果的なのがログ管理です。ログを残し管理していることを公表することで、従業員は犯行を思いとどまります。これはアンケート結果でも現れており、発覚するとわかって犯行に及ぶほど人は愚かではありません。
ログ管理は事件が発生してからではなく、起こさせない対策としても効果があるのです。
下記の記事では、実際の製品を様々な視点で徹底比較しております。少しでも気になる製品があれば無料資料請求してみてください
モニタリングと社員のセキュリティ意識向上
セキュリティ事故を起こさせない、あるいはギリギリのところで防御する手段です。ログ管理ツールの多くには、操作の監視(モニタリング)機能が搭載されており、情報漏えいにつながる操作を発見すると、アラートを出すように設定することができます。
たとえば、マイナンバーの操作権限のない従業員が、該当するデータベースやファイルにアクセスしようとすると、セキュリティ担当者にアラートが出ます。同時に画面に「あなたにこのファイルの参照権限はありません」と表示され、従業員は自身のミスに気づきます。
参照権限があってもファイルを自分のパソコンへダウンロードしようとすると「このファイルのダウンロードが許されていません」または「このファイルのコピーは許されていません」と表示され、マイナンバー操作の社員教育にもなります。
しばしばこのような指摘を受ける社員は、要注意人物としてリストアップし対策を講じることも可能となります。本人の意思とは関係なく、背後にマルウェアの存在があるかもしれません。
人的なミスは内部統制管理によって抑制することができます。内部統制管理については下記の記事で詳しくご紹介しておりますので、あわせてご覧ください。
ログ管理でマイナンバー対策を進めよう!
マイナンバーは厳しい罰則金が科せられていることでも注目されています。個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律(通称:マイナンバー法 平成二十九年六月一日)正当な理由なくマイナンバー情報を漏らした場合200万円以下の罰金となっています。これら罰則金が社員に科せられることのないよう、ログ管理を徹底しましょう。ログデータは社員の身の潔白を証明する手段にもなります。
また、マイナンバーはこれまで行ってきた、セキュリティ対策の棚卸しと再整備の機会にもなります。これを好機として、社内のセキュリティ体制を再確認し、必要に応じてログ管理システムを検討してみてはいかがでしょうか。
