番号漏えいで1000万ドルもの罰金を科せられた企業も

　「ガートナー セキュリティ＆リスク・マネジメントサミット2015」で登壇したシモンズ氏によれば、米国ではここ何年かの間に「悪い意味で目を覚まされるような事件が多発している」という。

　たとえば2014年、消費者情報の収集を専門に行う米国企業が、約10万件の社会保障番号を盗まれるというデータ漏えい事件を起こしてしまった。そこで監督官庁である連邦取引委員会（FTC）が調査したところ、この企業は自社のホームページ上で堅牢で高度な情報セキュリティ管理対策を採っていると謳っていたにも関わらず、十分なセキュリティ対策を講じていなかったことが明らかになった。

「この企業は50万ドル（約6,000万円）の罰金を科され、監督対象配下に10年間も置かれることになった。とはいえ、これぐらいの制裁ならそれほど大きな打撃ではないかもしれない。しかし顧客からの信頼は失われ、同社のブランドイメージは大きく失墜した。結果、大幅な売上低下につながることになった」

　また同じ2014年の11月には、低所得顧客層向けにプリペイド式の携帯電話サービスを提供していた通信会社2社が、米国連邦通信委員会（FCC）から、実に1,000万ドル（約12億円）もの罰金を科せられた。

「FCCによれば、これらの企業は社会保障番号を含む顧客の個人情報を、十分に保護されていないインターネット上のサーバに保存していた。そうした雑な情報管理が非常に多額の罰金を招き、先の事例と同様にブランドイメージにも甚大な被害が及ぶことになった」

　翻って日本を見てみれば、2015年6月、日本年金機構がサイバー攻撃に遭い、多くの基礎年金番号が盗まれるという情報漏えい事件が発生している。

「マイナンバー制度は、まず社会保障と税に関する行政手続きを効率化することに主眼が置かれているが、今後は個人の医療データや金融情報とも結び付くなど、用途は拡大していく（詳細記事）。米国企業の事例でも明らかなように、日本企業は“万一マイナンバーを漏えいさせてしまった時に、自社は致命的なダメージを受ける可能性がある”ということを、十分に理解しておかなければならない」

ITインフラをリスク評価し、マイナンバー・プログラムを確立する

　それでは実際にマイナンバー制度には、どのように対応していけばいいのか。

　この点についてシモンズ氏はまず、「非常に重要なポイントは、マイナンバーはクレジット番号かのように扱う必要があるということだ。機密情報であることを認識し、強力に保護していただきたい」と強調する。

「ただしその際にまだ世の中でテストされていない新しい技術を導入しなければならないということではない。とはいえ既存の技術でも、自社にとっては新しい技術を導入しなければならなくなるケースは十分にあり得る」

　具体的な取り組みのファーストステップとしては、現在のITインフラのリスク評価を行う必要がある。システムやアプリケーション、データベースを対象に、マイナンバーに対応するために修正しなければならないITリソースを特定するということだ。そしてそのためには、“マイナンバー・プログラム”を確立することが求められる。

「複数事業部から主担当者を任命し、マイナンバーの取り扱い方針を決めて文書化し、社内に認知を徹底させるという取り組みだ。マイナンバー管理のガバナンスも構築していく。また人事部門や顧客管理部門など、マイナンバーの影響を受ける部門を巻き込んで、組織横断的に取り組んでいく必要がある。これは一定期間で完結する“プロジェクト”ではなく、全社を挙げて永遠に続けていかなければならない取り組みだ。だから“プログラム”と呼んでいる」

米国でDLPの実装が急増している理由とは

　続いてシモンズ氏は、マイナンバーを保護するための具体的な手法について言及した。

「まず挙げられるのがデータのマスキングもしくはハッシングで、これらが最もシンプルなデータ保護の方法だ。マイナンバーのような機密情報を失う典型的なパターンとして、開発／テスト環境で本番データを使ってしまうことが挙げられる。そこでデータのマスキングもしくはハッシングを施して難読化を図っておく。しかしそれ以前の問題として、そもそもテストデータにマイナンバーを含めては決してならない」

　そして情報の分類とラベル付けを行う。つまりマイナンバーを、クラウド環境を含めた社内システムのどこに保存するのかを決め、データベース内でマイナンバーが該当するフィールドを“機密扱い”にして分類し、ラベル化するのだ。

「かなり大変だが、非常に大切な取り組みだ。今後企業がクラウドベースのサービスをさらに活用していく中で、ますます重要になっていく施策だと言える」

【次ページ】マイナンバーを保護するネットワーク・ゾーニング・アーキテクチャ