厳しい罰則のマイナンバーとは?
2015年10月から全国民に配布が開始されたマイナンバー。金融機関並みの安全管理措置が求められ、いまだにその管理に戸惑っている企業が多くあります。 行政では、ガイドラインを示しており、基本方針の策定、取扱規程等の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の6つを指示しています。
特徴となるのは、まず管理の法令違反に対する罰則の厳しさです。たとえば、マイナンバーを扱う事務担当者が、正当な理由なく特定個人情報ファイルを他人に提供した場合、「4年以下の懲役、または200万円以下の罰金、または併科」とされています。
次に、例外なくすべての企業に安全管理が義務づけられていることです。従来、J-SOX法の対象は上場企業やそのグループ企業に限られていました。個人情報保護法は個人データの数が5,000件以上の事業者が対象でした(改正個人情報保護法では5,000件以下の事業者も対象となる:2015年9月公布)。しかしマイナンバーは、今まで対象外となっていた中小企業にも保護管理が求められるのです。
もっとも、保護管理に困惑しているのは、行政の指導があるからだけではありません。仮にマイナンバーが漏えいした場合、損害賠償を求められますし、事件が明るみになれば企業の信用を著しく落とすことになります。顧客や取引先との取引打ち切りの危険性もあります。
保護対策となるUTMとは?
このマイナンバーの保護対策として有力視されているのが、UTM(統合脅威管理)です。企業ネットワークの入口に設置して、悪意ある攻撃、不審なデータ、ウィルスなどの侵入を防ぐ装置です。UTMが期待されているのは、主に次の理由からです。
- ■セキュリティ機能が統合されている
- マイナンバーを狙う犯人は1つの攻撃手段ではなく、複数の手段で盗み出そうとします。、UTMは複数のセキュリティ機能が搭載されており、高いセキュリティレベルを維持できます。ファイアウォール、ウィルス対策、DLP、IDS/IPS、Webフィルタリングなど、ネットワークセキュリティに必要な機能が一通り実装され、マイナンバーを保護します。
- ■運用管理が楽
- 1台に複数のセキュリティ機能が搭載されており、機能ごとの操作性も統一されていますから、設定が容易です。その運用管理も自動化されており、セキュリティ専任者を設けることのできない中小企業にも最適です。
- ■導入のハードルが低い
- 複数のセキュリティ機器を同時に購入すると大変な金額になります。しかし、UTMは1台に集約されていますので、低価格で導入できますし、後から機能の追加も可能です。セキュリティ対策に潤沢に資金を提供できない中小企業にとっては大きな魅力となります。
UTMの具体的な保護機能とは
それでは、UTMはどのような機能でマイナンバーを保護するのでしょうか。
マイナンバーを保護できる機能を紹介します。
- ■ファイアウォール
- 悪意ある不正なアクセスを防御する機能です。安全なアクセスのみを許可して、マイナンバーを守ります。
- ■アンチウィルス
- マイナンバーの持ち出しは、ウィルスを含むマルウエアによって行われます。UTMはこのマルウエアを検知して侵入を防ぎます。
- ■IPS/IDS(Intrusion Protection System/Intrusion Detection System)
- IDSはネットワーク上の不正アクセスを検知して通報します。IPSは、IDSが検知のみなのに対して、一歩進んで不正アクセスを検知・遮断します。
- ■DLP(情報漏えい防止)
- これは、内部からマイナンバーが情報転送されるのを防ぐ機能です。外部からの攻撃にいくら備えても、関係者がマイナンバーを持ち出す内部犯行の対策には限界があり、社員がうっかり送ってしまうことも考えられます。DLPは外に出る情報をチェックして、マイナンバーが含まれていると転送を防止します。
- ■Webフィルタリング
- 社員のサイト閲覧を制限します。マイナンバーを狙う犯人は、Webサイトを改ざんして、マルウエアを忍び込ませます。そのサイトを閲覧するとマルウエアに感染して、マイナンバーが持ち出されてしまうわけです。UTMはこのような危険なサイトの閲覧を防止することができます。
マイナンバー対策にUTMの導入検討を
UTMでマイナンバー保護のすべてが完結するわけではありません。しかし、推奨できる手段の1つですから、検討をお勧めします。
