- 会員限定
- 2016/01/26 掲載
“JALの初動対応、日本年金機構の内部リークに学べ” マイナンバー漏えい時の対策
2016年1月より本格運用が開始されたマイナンバー制度。企業の実務担当者とすれば、システム面だけでなく、運用面での懸念事項や対応策を整理しておきたいところだ。マイナンバーをはじめとする(特定)個人情報漏えいを防ぐ管理上の問題点や、マイナンバー保管をクラウド事業者に依頼する企業の注意点、さらには、個人情報漏えいの際の対応や危機管理・リスクマネジメントはどうすべきなのか。一般財団法人 日本情報経済社会推進協会(JIPDEC) 常務理事 坂下 哲也氏、ロケットワークス 代表取締役の岩村 昭英氏、エルテス 代表取締役 菅原 貴弘氏が議論した。
常務理事
坂下 哲也氏
マイナンバーが漏えいしたら何が起こるのか?
1月から運用が開始されたマイナンバー制度。現在懸念されていることの一つが、「マイナンバーの漏えい」だろう。2015年7月に内閣府が実施した「マイナンバー制度に関する世論調査」でも、「個人情報の漏えいによりプライバシーが侵害される恐れがある」「マイナンバーや個人情報の不正利用により被害に遭う恐れがある」ことが不安だと回答したユーザーは、7割を超えている。坂下氏は、マイナンバーが漏えいする原因として以下の可能性を挙げた。
「国や自治体のネットワークはインターネットと隔離されており、さらに、総務省の指示により、各自治体はマイナンバーを利用するネットワークを物理的にインターネットと分離する準備を進めているところだ。現在のところ、漏えいリスクが高いのは、インターネットに接続できる環境でマイナンバーを取り扱う企業や組織、個人がマルウェア等に感染する場合や、ユーザー自身がむやみに番号を教えてしまう場合、通知カードやマイナンバー付き住民票を紛失、盗難される場合などが考えられる」(坂下氏)
では、漏えいしたマイナンバーが悪用される可能性や、その場合に考えられる被害はどのようなものか。坂下氏は、「12ケタの番号そのものは、漏えいしても何も起きない」と語る。
「問題は、12ケタの番号が、氏名や住所、または生年月日、性別等と組み合わされた場合に、“一生変わらない識別子”が漏れたことになる。別の場所から漏れたマイナンバー以外の情報と、マイナンバーを組み合わせる“名寄せ”の可能性も考えられる。これにより、自分の知らないところで自分像が勝手に作られていく、といったことが考えられる」
また、菅原氏は、漏えいによる「直接的な被害」よりも、世間の注目に便乗した詐欺の可能性に言及した。
「『あなたのマイナンバーが漏れていますよ』といってマイナンバーを盗んでいく詐欺行為をはじめ、悪意のある人間による間接的な被害にも目を配る必要がある」(菅原氏)
そして、岩村氏は、プライバシー保護の問題があらゆる分野に広がっていく可能性を挙げた。
「医療情報やDNA情報など、秘匿性の高いプライバシー情報とマイナンバーが結びつくことの懸念や、たとえば、オリンピックで機運の高まるテロ対策とプライバシー保護の問題など、インターネットのテクノロジーの進化による利便性とプライバシー保護の問題が様々な分野で取りざたされることが考えられる」(岩村氏)
今のところ、危険やリスクが明確に見えない点が、かえってユーザーの不安を高めている面がありそうだ。
マイナンバー保管をクラウド事業者に依頼する企業の注意点
次に、制度導入後の運用についてだ。マイナンバーの管理、とくに業務委託に関する注意点について、坂下氏は以下のように語る。「クラウドにマイナンバーを保管する場合、クラウドから情報が漏洩しても、クラウド事業者が、預けられた情報がマイナンバーと知らない場合は、責任を問われない場合がある。一方、クラウド事業者がマイナンバーと知って情報を預かる場合、漏えいした場合に、委託側、受託側のどちらが責任を負うかが問われることになる」(坂下氏)
その際は、厳重に管理しているといえる状態で保管されていたか、保管方法やデータの暗号化といった漏えい対策がなされていたか、などがポイントとなってくるという。そして、菅原氏は、受託側の事業者のリテラシーの「差」をリスクとして上げる。
「マイナンバーの保管を委託する際のリスクは、事業者間でリテラシーにバラつきがある点を委託側がどう見極めるか、また、漏えいした場合の責任分界点(どちらの責任で漏えいしたのか)をどう考えるか、きちんと整理する必要がある。個人利用の場合は、クラウドサービスから情報が漏えいした場合、サービス側の責任か、自分の管理(パスワードの管理が甘かったなど)に問題があるのか、線引きが難しい場合があるからだ」(菅原氏)
ルールの整備、業務プロセスの見直しも当然重要に
また、岩村氏は、最低限のルールや対策のラインを決めることの重要性を挙げる。「自動車の運転と同じで、気をつけていても事故は起こり得る。刑罰と風評のリスクからいえば、悪意があるかどうかでペナルティは重くなる。お酒を飲んだら運転しないというような、最低限のルール、対策を行うことが大事だ」(岩村氏)
ルールという点では、坂下氏は、業務フローの重要性を指摘する。
「業務プロセスを見直し、担当者が移動するなどして環境が変わってもトレーサビリティが保たれるよう、業務を標準化することが重要だ。業務を可視化すればリスクも可視化される。セキュリティ対策のレベルは、事業者によって異なるので一概に言えないが、業務委託の注意点については、税理士や商工会などがマイナンバーセミナーを実施しているので、不明な点があれば、いつでも相談することをおすすめする」(坂下氏)
【次ページ】JAL、日本年金機構の情報漏えいはなぜ起こったか?
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
投稿したコメントを
削除しますか?
あなたの投稿コメント編集
通報
報告が完了しました
必要な会員情報が不足しています。
必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。
-
記事閲覧数の制限なし
-
[お気に入り]ボタンでの記事取り置き
-
タグフォロー
-
おすすめコンテンツの表示
詳細情報を入力して
会員限定機能を使いこなしましょう!
「」さんのブロックを解除しますか?
ブロックを解除するとお互いにフォローすることができるようになります。
ブロック
さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。
さんをブロックしますか?
ブロック
ブロックが完了しました
ブロック解除
ブロック解除が完了しました