マイナンバーは、個人情報の中でも特に漏えいの影響が大きい情報です。マイナンバーを扱う場合は、特に慎重な対応を検討しなければなりません。本稿では、マイナンバーにセキュリティ対策が必要な理由や安全管理措置について解説するとともに、ログ管理で実現できるマイナンバーの情報漏えい対策について紹介します。
マイナンバーのセキュリティ対策が必要な理由2つ
マイナンバーのセキュリティ対策が必要な理由は、企業の社会的な信用を失墜させる点と、不正利用による影響度が大きい点にあります。
1 情報漏えいは企業の信頼性を失墜させるため
マイナンバーは、社会保障や税、災害対策などの行政手続きに必要です。マイナンバーがあると公的な個人情報にアクセスできるようになり、他の個人情報に比べて悪用された場合のリスクも高くなります。
そのため「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以降「番号法」と呼ぶ)では、「個人情報の保護に関する法律」(以降「個人情報保護法」と呼ぶ)よりも厳しい保護措置および罰則が定められています。
万が一マイナンバーを漏えいさせた場合、企業は重い罰則を受けなければなりません。そればかりでなく、マイナンバーの漏えいがニュースで取り上げられると、社会的な信用を失墜することも十分にあり得ます。
2 不正利用による従業員への影響度が大きいため
万が一マイナンバーが漏えいして不正利用された場合、従業員への影響は大きくなります。マイナンバーだけでは、そう簡単に悪用はできません。ただ、マイナンバーを含む氏名や住所などの個人情報は「特定個人情報」となり、一緒に漏えいすると悪用される危険性は高まります。
特定個人情報を不正使用されると、住民票の異動や婚姻届・離婚届の提出などを不正に行われる可能性があります。基本的に行政手続きは役所の窓口で行うためそう簡単には悪用しにくいはずですが、可能性はゼロではありません。
諸外国でもマイナンバーと同様の制度を導入している国は、情報漏えいやなりすましなどの犯罪が問題になっている状況です。
企業に求められる特定個人情報に関する安全管理措置とは
企業に求められる4つの「特定個人情報に関する安全管理措置」について順番に解説します。具体的にどのような安全管理が求められているのか確認しましょう。
1 組織的安全管理措置
組織的な安全管理措置とは、特定個人情報を管理するため、組織的に行わなければならない措置のことです。単に組織体制を整えるだけではなく、具体的には、以下5種類の対策が求められます。
- 組織体制の整備
- 取扱規程等に基づく運用
- 取扱状況を確認する手段の整備
- 情報漏えい等事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
出典:個人情報保護委員会事務局「はじめてのマイナンバーガイドライン(事業者編)~マイナンバーガイドラインを読む前に~」
組織体制と取扱規程・取扱状況の確認手順を定め、実際に問題が発生した場合に対応する体制の整備などが必要です。
2 人的安全管理措置
人的安全管理措置とは、特定個人情報を管理するために、マイナンバーを取り扱う人員の教育や監督によって、安全管理措置を講じる対策を指します。具体的には、事務取扱担当者の監督や、事務取扱担当者の教育などが人的安全管理措置に相当する対策です。
3 物理的安全管理措置
物理的な安全管理措置とは、特定個人情報を扱う場所自体を物理的に分かるような仕組みにするなど「物理的」に安全となるような対策のことを指します。具体的には、以下3つの対策です。
- 特定個人情報等を取り扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 子媒体等の取扱いにおける漏えい等の防止
出典:個人情報保護委員会事務局「はじめてのマイナンバーガイドライン(事業者編)~マイナンバーガイドラインを読む前に~」
特定個人情報を取り扱う区域を定める対策は必須です。さらに、特定個人情報を扱うマシンやUSBなどの電子媒体の盗難防止、電子媒体を介して情報漏えいをしないよう運用ルールを決めて防止するなどの措置も求められます。
4 技術的安全管理措置
技術的安全管理措置としては、下記4つの対策が必要です。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報漏えい等の防止
出典:個人情報保護委員会事務局「はじめてのマイナンバーガイドライン(事業者編)~マイナンバーガイドラインを読む前に~」
アクセス制御には、適切なアクセス制御やセキュリティ対策の機能を持つシステム導入が必要です。アクセスユーザーの識別と認証に関しては、認証管理システムなどが求められます。
外部からの不正アクセスの防止には、ウイルス対策ソフトやファイアウォール、IPS(不正侵入防御システム)やWAF(Web Application Firewall)などが有効です。情報漏えいの防止には、暗号化通信で送信情報を守る、あるいはログ管理や監視が有効な手段となります。
では、ログ管理を行うことで、特定個人情報の情報漏えい対策はどのように行われるのでしょうか。
ログ管理で実現できるマイナンバーの情報漏えい対策
ログ管理で実現可能なマイナンバーの情報漏えい対策は以下の通りです。
- 不正アクセス履歴の監視・追跡
- 社員の不正アクセスに対する抑止力
- セキュリティに対する意識向上
- 不正アクセスの早期発見
具体的にどのような対策となるのかについて確認しましょう。
1 不正アクセス履歴の監視・追跡
ログ管理を行うことで、不正アクセス履歴の監視・追跡が可能となります。ログ管理で残せるアクセス履歴情報は、一般的に以下の通りです。
| アクセス履歴情報 | 情報の内容 |
|---|---|
| 日付時刻 | ファイルアクセスの発生日時 |
| コンピューター名 | アクセス元のコンピューター名 |
| ユーザーID | アクセスしているユーザーID |
| IPアドレス | アクセス元のIPアドレス |
| アクション | ファイルに対する操作内容 |
| タイプ | アクセス先がファイルかフォルダか |
| イベント | 対象ファイル(フォルダ)名 |
| ファイルサイズ | 操作されたファイルの容量 |
不正アクセス履歴の監視・追跡機能自体には、不正アクセスの予防機能はありません。ただ、不正アクセスを受けた後の証跡調査など、事後対策で特に役立ちます。 ログデータが改ざんされていないことを証明できる場合、裁判資料との利用も可能です。
2 社員の不正アクセスに対する抑止力
マイナンバーを含む特定個人情報は、ダークウェブなどブラックマーケットに高額で売買されているため、危険を冒して内部犯行を目論む人間もいます。
しかしログ管理・監視を行っていること、不正アクセス者に対しては厳しい罰則規定があると会社側が公表するとしましょう。当然、内部犯行発覚のリスクを従業員に意識させることができ、結果的に不正アクセスの抑止力になります。
ただし管理体制が緩いと見透かされると逆効果です。ログ管理・監視の運用体制はしっかり整えなくてはなりません。
3 セキュリティに対する意識向上
ログ管理を行うことで、セキュリティに対する意識向上も期待できます。ログ管理システムには、操作の監視およびアラート機能が備わっている製品も少なくありません。
社員が特定個人情報を含む情報にアクセスしようとすると、ログ管理システムから「このファイルは操作できない」「参照できない」などの警告が出ます。社員は、知らず知らずのうちに特定個人情報にアクセスしていたことに気づかされ、セキュリティに対する意識も向上することが期待できます。
また、繰り返しログ管理システムから警告を受ける操作を行っている社員を、要注意人物としてリストアップすることも可能です。社員が意識的に行っているか、マルウェアなどに感染しているかを確認して、情報漏えいを未然に防ぐことができます。
4 不正アクセスの早期発見
ログを監視し、問題のありそうなアクセスを見つけてアラートを上げるよう設定することで、不正アクセスの早期発見も可能です。アクセスログを常に目視で追うことはできません。自動的に不正アクセスを判断する機能を利用することで、不正アクセスにいち早く気づき、対策を講じることができます。
マイナンバーの不正利用や情報漏えい時の企業への罰則
マイナンバーの不正利用や情報漏えいが発生した場合、罰則規定が定められています。企業に対する罰則規定と罰則の内容の主なものをピックアップしました。
| 罰則行為(事業者に関係するものを一部抜粋) | 罰則の内容 |
|---|---|
| 個人番号利用事務などの従事者(個人番号利用事務や個人番号関係事務も含む)が、正当な理由なく特定個人情報を提供した場合 | 4年以下の懲役または200万円以下の罰金または併科 |
| 個人番号利用事務などの従事者(個人番号利用事務や個人番号関係事務も含む)が、不正な利益を得るためにマイナンバーを提供または盗用した場合 | 3年以下の懲役または150万円以下の罰金または併科 |
| 人を欺く・暴行を加る・脅迫するなどの行為、または財物の窃取・施設への侵入などによりマイナンバーを取得した場合 | 3年以下の懲役または150万円以下の罰金 |
また、番号法の第57条では、以下のようにも定められています。
「法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者若しくは管理人又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して次の各号に掲げる違反行為をしたときは、その行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。」
出典:E-GOV法令検索「個人情報保護委員会事務局「行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第五十七条」
第57条によると、罰則対象は情報漏えいに違反した行為者個人だけではありません。その法人(法人でない団体は代表者・管理人)に対しても罰則が適用されてしまいます。
企業への罰則は非常に厳しいため、マイナンバーや特定個人情報の漏えい対策は確実に行いましょう。
ログ管理システムを導入してマイナンバー対策をしよう
マイナンバーや特定個人情報の漏えい対策の一環として、ログ管理システムは重要な役割を果たします。不正アクセスの早期対応など事後対策だけでなく、ログを管理していることを全社に通達することで、社員の内部犯行を抑止することも可能です。
ログ管理システムを導入する際は、マイナンバーなどの特定個人情報を含むファイルの操作や、不正アクセス検出時のアラート機能があるものを選びましょう。製品情報に関する資料を入手し、マイナンバー対策に必要な機能が揃っているかどうかの確認にお役立てください。
