サイト内検索
サイト内検索を閉じる

【コラム】マイナンバー・個人情報があなたのPCに保存されていませんか? ~マイナンバー対応で注目が集まる個人情報漏洩対策~

2016年1月からのマイナンバー制度(社会保障・税番号制度)運用開始に向け、2015年10月からマイナンバーが記載された通知カードの配達が始まりました。マイナンバー制度は、行政の効率化、国民の利便性を高め、公平・公正な社会を実現する社会基盤として期待されています。
その一方で、マイナンバーを含む個人情報は「特定個人情報」として、厳格な情報管理が求められます。行政機関への提出資料にマイナンバーの記載が必要となるため、すべての企業はマイナンバー制度に対応しなければなりません。国から発表されたガイドラインに従って、情報漏洩対策、セキュリティ対策を施す必要があるのです。
また、マイナンバーに限らず機密情報や個人情報の漏洩問題は企業に大きな損害を招く危険性があります。今回はマイナンバー対応で注目度が増している情報漏洩対策、セキュリティ対策についてご紹介します。

目次

マイナンバー対応で必要なセキュリティ対策

2016年1月からマイナンバー制度(社会保障・税番号制度)の運用が開始されます。マイナンバーは日本に住民登録のあるすべての人に割り振られる12桁の固有番号です。企業においては社会保障や税に関する手続書類に、従業員などのマイナンバーを記載して提出することになります。そのため、すべての企業・事業者においてマインナンバーへの対応を行わなければなりません。

マイナンバーを含む個人情報は「特定個人情報」として、通常の個人情報保護法よりも厳格な保護措置が設けられています。ガイドラインでは、事業者が行うべき対策としては以下の4つのポイント(マイナンバー4箇条)が記載されています。

  1. 取得・利用・提供のルール
    • 個人番号の取得・利用・提供は法令で決められた場合だけ
    • これ以外では、「取れない」「使えない」「渡せない」
  2. 保管・廃棄のルール
    • 必要がある場合だけ保管
    • 必要がなくなったら廃棄
  3. 委託のルール
    • 委託先を「しっかり監督」
    • 再委託は「許諾が必要」
  4. 安全管理措置のルール
    • 漏えいを起こさないために

これらの4つのルールを見てみると、マイナンバーに関しては厳格に管理し、情報漏洩を起こさないような対策を立てる必要があるということが分かります。
なお、マイナンバーを含む個人情報「特定個人情報」が漏えいした場合、罰則についても強化されています。収集したマイナンバーが情報漏洩した場合には法律で罰せられることになるため、企業はマイナンバーの情報漏洩対策を施していく必要があります。

【罰則規程の例】

  • 正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供した場合
    ⇒4年以下の懲役 または 200万円以下の罰金

また、個人情報漏洩は罰則規程だけの問題ではありません。個人情報漏洩を起こしてしまうと社会的信用を失い、さらには多額の損失を招く可能性があります。

2014年に起こったベネッセコーポレーションの顧客情報大量流出事件は、大きな社会問題となりました。ベネッセホールディングスはお客様へのお詫び対応や個人情報漏えいに対する調査・情報セキュリティ対策等によって 260億円を計上することとなりました。
このように、個人情報漏洩は企業に大きな損失を招く危険性があるのです。

ここまで見てきたように「特定個人情報」については、従来の個人情報以上に厳格な情報管理対策が必要となってくるのです。

個人情報管理の現実

マイナンバー対応としての個人情報漏洩対策が叫ばれていますが、そもそもマイナンバーに限らず個人情報の管理は企業にとって重要な課題です。個人情報が流出することで大きな損害を招く危険性があるため、多くの企業では、何かしら個人情報保護対策を行っているかと思います。

具体的な対策として

  • 個人情報が含まれるファイルにはパスワードを付ける
  • 個人情報は個人のPC上には保存しない
  • 個人情報はサーバーの特定ディレクトリのみに保存する

このような社内規程・ルールを設けられている企業も多いと思います。
では、社内規程や・ルールを作ったからといって、実際にそれらのルールは守られていると言い切れるでしょうか?

  • ファイルにパスワードをかけ忘れた
  • サーバー上であればどこに保存してもいいと思っていた
  • いちいちサーバーにアクセスするのは面倒なのでPC保存していた
  • 削除しようと思って忘れていた

実は、現場では日常的にこのようなことが行っている可能性があります。それは「Pマーク」や「ISMS」を取得している企業においても、同じ状況かもしれません。
本人は「うっかり」「知らなかった」「たいしたことではない」と思っているかもしれませんが、それが大きな問題に発展する危険性も潜んでいるのです。

年金機構の個人情報漏洩事件

2015年5月に起こった日本年金機構の個人情報漏洩事件は記憶に新しいかと思います。基礎年金番号などの個人情報125万件が流出し、大きな社会問題となりました。

年金機構の情報漏洩事件の原因としては、職員がメールに添付されたウィルス付きのファイルを開封したことにより、不正アクセスが行われたことです。
しかし、実際に被害を拡大させたのは、本来は直接アクセスできないシステム上で管理されるべき重要な情報がファイルサーバに保存されていたことです。個人情報を基幹システムは物理的に異なるネットワークに存在しており、重要情報には直接アクセスできないはずでした。しかし、業務都合による運用で、侵入した攻撃者にもアクセスできる場所に重要情報が置かれていたことで大きな被害が発生したのです。
社内規程やルールがあったとしても、それを守っていなければ大きな問題となりうるのです。

今求められる情報漏洩対策

マイナンバー制度がスタートすることになり、これまで以上に個人情報の漏洩対策の重要性が増してきています。情報漏洩を食い止めるためには、社内規程・ルールを順守させるための従業員の教育が重要です。しかし、人間はミスを犯すものですので、教育だけではすべてを防ぐことはできません。

ルールで決められている保管場所以外のサーバーや個人のPCにマイナンバー、個人情報が保存される可能性もあるのです。しかしながら、すべてのサーバーやPCを人の目で調べることはできません。すべてのサーバーやPCに個人情報があるかどうかを自動的に検出できるツールの導入が必要となってきます。

個人情報検出ツールは、PCやサーバーに保存されているファイルの中の個人情報を自動検出するツールです。個人情報を特定するための辞書によって、名前や住所、クレジットカード番号、マイナンバーなどの個人情報が含まれるファイルを検出できます。

個人情報検出ツールを選定する上で注意しなければならない点がいくつかあります。それは「精度」と「速度」です。

「精度」についてですが、自動検出できても精度が低ければあまり意味がありません。
例えばマイナンバーは12桁の数字です。しかし、世の中には12桁の数字の番号で個人情報とはまったく関係ないものも多く存在しています。単に12桁の数字というだけで検出してしまっては、意味がありません。マイナンバーの12桁目はチェックデジットとなっているので、そのチェックデジットを照合しマイナンバーかどうかを判別する必要があるのです。
その他の名字や住所、クレジットカード番号などの個人情報についても、辞書や正規表現などにより高精度で検出できるツールを選ぶことが重要となります。

次に「速度」についてです。大手企業では無数のサーバー、PC上に膨大な量のデータが保存されています。それらすべてのデータを検査するのに何日もかかってしまうようであれば、実際の運用には耐えられないのです。そこで、実運用に耐えられる速度で検査ができるシステム構成にする必要があります。そのためには高速検査ができるツールや差分検査機能を持つツールなどを選ぶのがよいでしょう。

このように個人情報検出ツール導入に際しては、実際の運用に耐えられるシステムであるかを判断することが大切です。

マイナンバー制度開始にともない、企業の個人情報についてのより厳重な管理が求められてきます。しかし、人の目や人の手で管理するには限界があります。

個人情報検出ツールなどのシステムを活用することで、管理コストを下げるとともに情報漏洩のリスクを大幅に低減できます。また、そのようなシステムを導入していることを社内に周知することで、従業員に対する抑止力にもなりうるのです。
今後のマイナンバー対策、個人情報漏洩対策として、このようなツール導入も一つの案として、検討してみてはいかがでしょうか。

個人情報ファイル検出ツール すみずみ君

PAGE TOP

サービスに関する資料をご希望の方は、フォームに必要事項を入力いただき、ご送信ください。

資料を請求する

お問い合わせ
各種お問い合わせページ
お問い合わせフォーム
サービスに関するお問い合わせ
お電話
0800-600-9810
携帯電話
050-5816-9805
受付時間 9:00~12:00 13:00~17:00(土・日・祝日を除く)

更新日時:2023年10月4日 20時41分