情報セキュリティ トピックス

マイナンバー制度開始に向けた最近の動向

2015.05.20
印刷

総合研究部 上席研究員 佐藤栄俊

マイナンバーのイメージ画像

マイナンバー制度開始に向けた最近の動向

 4月に入り、民放各局で「マイナンバー」を周知するCMが放映され始めました。10月には1人ひとりへの番号通知が始まり、来年1月からは個人番号の利用が開始されます。企業にとっては個人番号の通知開始が半年後に迫り、重い腰を上げざるを得ないというのが正直なところだと思いますが、何をすべきなのか十分に理解されていないことが対応の遅れを招いています。

 現在、マイナンバー制度導入の目的は、①番号を利用した効率的な行政事務の処理と確実かつ迅速な情報の授受、②公正な給付と負担の確保を図る、③手続きの簡素化と負担軽減とされており、簡単に言うと、名寄せの利便性、手間の削減やそれに伴う処理速度の向上ということになりますが、今後マイナンバーの使途はさらに広がる見込みです。

 今国会では、先月4月23日、預金口座、健康診断情報、予防接種履歴などとの結びつけを可能にする法改正案が審議入りしています。

 個人の利用者側から見ると、2016年からは、まず年金記録照会と子ども版NISA口座開設手続きからマイナンバーが利用できるようになり、自治体の実施する予防接種の記録、健康保険組合のメタボリック健診にもマイナンバーが記載される予定です。医療分野においては、今後カルテなどの管理に活用する検討もされていますが、医療情報を第三者が管理してはならないとする日本医師会の反発もあり、今後の方針などについては現状不透明です。また、2018年から戸籍にも適用することも検討されていますが、医療と戸籍の2つは、個人情報の中でも最も機微性とプラバシー性の高い情報であり、今後も慎重な議論が必要だと言えます。

 このように金融、医療、介護、健康、戸籍、旅券などの公共性の高い分野での利用範囲も検討されており、制度開始前であるにも関わらず、その有効活用や効率化(蓄積と分析、いわゆるビッグデータ分析)を前提とした宣伝や議論が政府を中心におこなわれています。

 一方、個人特定可能なマイナンバーが今後新たな属性情報と紐付くとなれば情報資産としての価値は高まることになり、その分脅威も増加することになります。目的とするその利便性が、情報保護の観点からのリスクの高まりを踏まえてでも実施すべきかどうかについては、動向を追いながら引き続き注視する必要があります。

 米国では、今後運用制度が始まる日本のマイナンバーに相当する「社会保障番号(SSN:Social Security Number)」が個人番号として付与されていますが、年金や医療給付金などの不正受給や、他人のSSNを不正利用した銀行口座の開設など、不正に取得された個人番号が悪用される事件も発生しています。社会保障番号は、もともと社会保障分野において個人を特定するための番号ですが、銀行口座やクレジットカードを作成する際にも必要となるなど、官民に共通する共通番号として利用されているほか、SSNの下4桁をもとに本人確認の手段として広く利用されていることなどから、SSNを利用したなりすましが大きな問題となっています。米国では、2006年から2008年の3年間だけで社会保障番号悪用による1000万件以上の被害があり、損害額は1兆円を超えるとの統計もあります。

 マイナンバー制度の導入にあたっては、こうした先行事例を適切にふまえ、安全性の担保とされる「行政機関間のやりとりの暗号化」、「厳格な本人確認」、法令違反への勧告・命令、苦情の受け付けなどをおこなう第三者機関「特定個人情報保護委員会」の実効性のある運用等が強く望まれます。

 いずれにせよ所得や年金、雇用保険の給付状況などに加え、さらに機微な、重要な情報が紐付けられることによって、事業者にとってはセキュリティを確保すべき範囲が格段に広がることになります。

 ともあれ制度は開始され、既に実施されることは決まっています。

 開始までの残りの期間、企業として準備と対応について検討しなければなりません。マイナンバー制度に関しては、内閣官房の特設サイトを中心として、特定個人情報保護委員会、国税庁、厚生労働省等様々なところがかかわっており、随時ガイドライン集、Q&Aなども追加・更新されています。対応が未着手の場合は、まずは特定個人情報保護委員会、国税庁、厚生労働省の関連サイトにもアクセスし、マイナンバー制度に関する資料や指針を参照し制度を理解していく必要があります。

◆ 特定個人情報保護委員会「ガイドライン資料集」

▼ マイナンバーガイドライン入門(事業者編)(平成26年12月版)

▼ はじめてのマイナンバーガイドライン(事業者編)(平成27年2月版)

▼ 小規模事業者必見!マイナンバーガイドラインのかんどころ(平成27年4月版)

▼ マイナンバーガイドライン入門(金融業務編)(平成26年12月版)

準備する内容

 マイナンバー制度開始に向けた事業者の押さえておくべき大まかな準備事項を、その1~その5にまとめました。また、マイナンバー制度の理解や情報収集では、内閣官房を中心とした以下の情報ソースが参考になります。制度概要はじめ、特定個人情報の適正な取扱いに関するガイドラインやQ&A、民間事業者における同制度に関する必要な対応について取りまとめた資料を掲載されていますのであわせてご活用ください。

▼ 内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省 事業者向けマイナンバー広報資料「マイナンバー 社会保障・税番号制度~民間事業者の対応」

▼ 特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」

(その1) 制度の理解と全従業員への周知

 帳票の利用やセキュリティに関するルールが変更されるとなると、業務を円滑に進めるために従業員に対して全体のあらましやそれらの変更点をあらかじめ周知する必要があると言えます。帳票を直接扱う部門だけではなく、給与を受け取る全従業員が関わる制度になるので、遠隔地にある支店や営業所の社員にも制度に関する理解や収集までのスケジュール、教育・研修の実施について周知しておくことが重要です。

(その2) 制度開始にともなう対象業務と対象者の洗い出し

 その1と並行して自社においてマイナンバーを取り扱う部門と業務、対象者を洗い出すことで、準備すべき内容や対処すべき課題が可視化できるようになります。税務署や市区町村役所、年金事務所などに今まで提出していた書類にマイナンバーを新たな追記しなければなりませんし、健康保険、厚生年金保険、雇用保険の資格の取得・喪失などの届出を行う書類にもマイナンバーの記載が必要になります。

 なお、正規社員、アルバイト、パートなどの従業員のみならず、外部の個人事業主(弁護士・税理士や外部講師、業務委託した個人など)に支払う報酬や、株式の配当をする場合の支払調書にもマイナンバーが必要になることから、マイナンバー制度の理解は、企業の特定部門のみでなく広い部門で必要となります。

 

マイナンバーの記載が必要な書類の確認 マイナンバー収集対象者の洗い出し
□給与所得の源泉徴収票、支払調書等の税務関係書類
□健康保険・厚生年金保険、雇用保険関係書類
□従業員等(従業員に加えて、役員やパート、アルバイトを含む)とその扶養家族
□報酬(講師謝礼、出演料等)の支払先
□不動産使用料の支払先、配当等の支払先 等

(その3) 運用ルール、ポリシー、ガイドラインの構築

 マイナンバー対象業務や運用を洗い出し、マイナンバーの管理方法等について、社内の個人情報管理規定などに追記する必要があります。また、企業内における情報管理と運用の責任者、管理者、担当者など階層別に役割と責任を明確にし、従業員への啓発や誓約書だけではなく、管理台帳などの事務的運用体制を組織的に行うようにすること、マイナンバーの閲覧、マイナンバーの情報が置かれている場所への部外者や関係者の不要な立ち入り禁止などの物理的な安全管理措置 、および不正なアクセスなどを防止できるようにシステム上の安全措置を講じる必要があります。

【事業者に求められる特定個人情報保護の規定(一部)】

  • 事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければならない。また、従業者に対する必要かつ適切な監督も必要。(安全管理措置)
  • 社会保障及び税に関する手続書類の作成事務の全部又は一部の委託する者は、委託先において、法律に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。(委託先の監督 )

 ※マイナンバーの管理を委託した場合、委託元企業は委託先だけでなく、その先の再委託先まで監督する責任を負います。委託先が事故を起こしたとしても、委託元企業自体が責任を問われるということを十分に認識する必要があります。

  • 法律で限定的に明記された場合を除き、特定個人情報を保管してはならない。(特定個人情報の保管制限)
  • 社会保障及び税に関する手続書類の作成事務を処理する必要がなくなり、所管法令において定められている保存期間を経過した場合は、マイナンバーをできるだけ速やかに廃棄又は削除しなければならない。(特定個人情報の収集・保管制限(廃棄))

(その4)対象業務のシステム改修や変更

 外部の基幹システムを使用している場合は、そのソフトのバージョンアップをされると思われますが、自社で全て、あるいは一部分を自社で業務のシステムを制作している場合は、システムへの影響を調査した上で対応する必要があります。その他、システムベンダーに従業員等の本人確認や特定個人情報の保存や廃棄などを委託するということであれば、特定個人情報ガイドラインに基づく委託先の選定基準に合致したシステムベンダーを選定する必要があります。

(その5)社内研修・教育の実施

 特に総務・経理部門など、マイナンバーを取り扱う事務を行う従業員へ運用ルールなどを周知徹底します。重要な運用ルールと情報漏えい防止策による不正なマイナンバー利用ができない、あるいはすぐに発覚することのシステム上の防止策を説明することで、不正が起きないよう抑止のための啓発を行います。

 マイナンバーを収集・管理するために必要なこと、具体的にどのような業務に適用されるかなど、制度そのものへの理解を深め、全従業員へ啓発するための制度の趣旨や概要、および禁止事項や遵守事項、罰則事項をまとめる必要があります。

マイナンバーの安全管理

 マイナンバー制度の運用にあたり、事業者は特定個人情報を収集・保管・提供できる範囲や、特定個人情報ファイルを作成できる範囲などが制限されるほか、個人番号の提供を受ける際の厳格な本人確認、各種の安全管理措置への取り組みなどが求められます。

<組織的安全管理措置> <人的安全管理措置>
□組織体制の整備
□取扱規程等に基づく運用
□取扱状況を確認する手段の整備
□情報漏洩事案に対応する体制の整備
□取扱状況把握及び安全管理措置の見直し
□事務取扱担当者の監督
□事務取扱担当者の教育
<物理的安全管理措置> <技術的安全管理措置>
□特定個人情報等を取り扱う区域の管理
□機器及び電子媒体等の盗難等の防止
□電子媒体等を持ち出す場合の漏洩等の防止
□個人番号の削除、機器及び電子媒体等の廃棄
□アクセス制御
□アクセス者の識別と認証
□外部からの不正アクセス等の防止
□情報漏洩等の防止

 特にマイナンバーの安全管理という面では、現在の情報管理体制が形骸化していないかも今一度確認及びチェックする必要があります。 実際に現場の業務がどのようにおこなわれていて、本来あるべき姿からの乖離がないか、また当初想定していた管理体制が不十分になっていないか等、現状の管理体制の不備を(把握できていない状況自体も含めて)リスクと認識し、見直していく必要があります。マイナンバーはこれまで企業が管理していた情報よりも、機微性及びプライバシー保護の観点、漏えい時の情報主体・企業に及ぼすダメージ(病歴や所得といった機微な個人情報が収集・分析されるおそれ)の大きさ等から、さらに高次元の管理体制が要求されることになるとの理解が必要です 。

 物理的・技術的安全管理措置の観点はもちろんのこと、情報管理に関する現行のルールの存在の周知(社員教育等)はもとより、さらなる厳格化の検討や内容の明確化、管理職によるルール順守状況の確認徹底、規制やセキュリティホールへの継続的対処といった人的・組織的な管理措置の観点まで含めて、総合的かつ徹底的に進めていくことがマイナンバー制度開始に向けた準備の一つであると言えます。

最近のトピックス

◆日経BPコンサルティング「マイナンバー制度への対応が遅れ、2015年末に未完了の事態も」

 日経BP社と日経BPコンサルティングによると、2016年1月に始まる社会保障と税の共通番号(マイナンバー)制度の対応状況を調査した結果、今年3月時点で社内システムの改修などの対応作業を済ませた企業や団体は17%にとどまったとしています。未対応は8割を超え、15年末までに社内規定の作成や社員教育、システム改修が間に合わない恐れがあると指摘しています 。

 本調査ではマイナンバー制度の趣旨が十分には浸透していないことを示していますが、対応の遅れやマイナンバーの取扱いに対する危機意識が低かったりすると、漏えいする危険性が高まることも考えられます。

 早期に体制やシステム構築に着手することが、より確実にマイナンバー制度の準備を完了させるうえで重要ですが、まずはできることから作業を開始し、最新の情報を収集しながら、対応していくことが望まれます。

◆IDCジャパン「2015年 国内企業の情報セキュリティ対策実態調査結果」

 IDCジャパンは、中小企業のセキュリティ対策への投資が減少傾向にあるという調査結果を公表しました。従業員100人以下の企業では2015年度に「投資を減らす」という回答が10%で、投資額を増やす企業の割合を上回り、内部からの情報漏洩対策に関心が低く、導入も進んでいない実態が浮かびあがっています。

 従業員が内部情報を持ち出す事件が多発しているが、危機意識の薄さが浮き彫りとなった格好で、中小企業ではほかの業務システムに集中し、安全対策まで予算を回せないとみられています。

 海外からのサイバー攻撃や内部者による情報漏えいなど、情報資産に対するの脅威は日々増加しており、一つの事故が事業の継続を阻害する要因になることもあります。情報セキュリティは重要な経営リスクの一つで、十分な対策を投資と捉え、事業継続性を確保視点も重要だと言えます。

◆総務省「個人情報・利用者情報等の取扱いに関するWG「「電気通信事業における個人情報保護に関するガイドライン」の改正について」(案)に対する意見募集」

 改正案では、従業員や委託先の監督について修正がされており、個人情報漏洩につながる不正防止に向けて具体的な措置が盛り込まれています。また接続ログの保存期間について、問い合わせ対応やセキュリティ対策などへの必要性が高い一方、プライバシーへの関わりは比較的小さいとし、業務上必要があれば1年程度許容できると具体的に記載がされています。

 一方、位置情報に関して、従来は捜査機関から要請を受けた場合でも、利用者に取得していることを知らせる必要があったものの、改正案では裁判官の令状があれば取得できることとし、捜査機関が容疑者に気づかれずに居場所を把握できるようにするとしています。

◆トレンドマイクロ「日本国内の標的型サイバー攻撃を分析したレポートを公開 」

 トレンドマイクロは日本国内における標的型サイバー攻撃の分析結果を発表しました。同社では標的型 サイバー攻撃を「特定組織に対し、時間、手段、手法を問わず、目的達成に向け、その標的に特化して行われる一連の攻撃」と定義しています。標的型サイバー攻撃は「事前準備」「初期潜入」「端末制御」「情報探索」「情報集約」「情報送出」の6段階に分けることができ、それぞれの段階において「入口」「内部」「出口」など適切な対策が必要であるとしています。また、2014年の標的型サイバー攻撃の傾向として、出口(外部との通信)においては「攻撃者の遠隔操作ツールが標的の環境変化に迅速に対応していること」「遠隔操作用サーバーが国内に設置される事例の割合が7倍以上に増加したこと」「遠隔操作ツールの大多数が外部との通信にウェルノウンポートと標準プロトコルを使用していること」を挙げています。

◆シマンテック「インターネットセキュリティ脅威レポート 第20号」を発表

 本レポートは、シマンテックの「Global Intelligence Network」から収集したデータに基づき、世界全体の脅威活動について分析したもので、2014年の傾向としては「攻撃においてスピードと正確性が高まった」ことを挙げています。また、修正プログラムが提供される前に攻撃が行われた「ゼロデイ脆弱性」は、2014年には24件が確認され、過去最多となっています。2014年には、OpenSSLの「Heartbleed」やbashの「ShellShock」といった脆弱性が大きな話題となりましたが、Heartbleedの脆弱性は明らかになってから4時間以内には悪用が始まるなど、攻撃のスピードが速くなる一方で、防御が追い付いていないとしています。

 その他、インターネットに接続されていたのはパソコンやプリンター、スマートフォンなどIT機器だけでしたが、今ではテレビ、デジタルカメラ、エアコン、自動車、航空機などさまざまなモノがつながり、それは日々拡大しています。こうした「IoT(Internet of Things)」に対する攻撃に対する防御を検討することも今後の新たな課題と言えます。

最近の個人情報漏えい事故(2015年4月)

 下記の表は、先月4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

 ※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成

業種 発生原因 対象 備考
1 国立大学 名簿紛失 新入生約1800人の氏名や学籍番号、所属学部 対象者に対して学籍番号を変更し、学生証を再発行
2 盗難 不明 駐車中の車の窓が割られ、車内に置いたままにしていた生徒の個人情報入りの鞄を盗まれた
3 ガス会社 領収書紛失 顧客25件の氏名や領収金額などが記載された領収書綴り 所在及び原因不明
4 市立小学校 書類紛失 児童や保護者の氏名、住所、家族構成など11件 所在及び原因不明
5 市立小学校 書類紛失 児童と保護者の氏名や住所、電話番号など24人分 所在及び原因不明
6 USBメモリ紛失 市民約1000人分の氏名や還付税額 ズボンのポケットに入れて帰宅したところ、立ち寄った店舗で落とし紛失
7 メール誤送信 登録者595人文のメールアドレス 送信先アドレスを誤って「To」に設定
8 県立病院 カルテ紛失 患者7名分の名前や住所、病名などが記載されたカルテ
9 大学附属病院 USBメモリ紛失 患者747人の氏名や年齢、傷病名 USBメモリの入った財布を地下鉄車内で紛失
10 信用金庫 印鑑票紛失 顧客の氏名や住所、口座番号、印影などが記載された印鑑票約1200件 39店舗において印鑑票を紛失。誤廃棄の可能性。
11 大阪府 メール誤送信 府内在住の獣医師約1600人の氏名や住所、勤務先 誤って本来添付すべきではないファイルを誤添付
12 区立小学校 名簿紛失 児童35人分の住所 家庭訪問をしていた際に住所の確認用に持ち出した名簿を紛失

13

名簿紛失 25世帯分の氏名や住所 就業状況などを調べる労働力調査のため名簿のコピーを持って外出し、その後紛失

14

人材紹介サービス

ノートPC紛失 人材紹介サービス登録者とのメールが記録されており、最大500件の個人情報

15

市立大学

メール誤送信 6人分の実習、宿泊研修に関する連絡と個人宛の連絡誤ってほぼ全学生に当たる約4000人へ送信 個人情報はなしとのこと

16

大学病院

USBメモリ紛失 氏名や生年月日、性別、カルテ番号、心理検査結果が含まれた患者約200人分 院内で紛失

17

誤送付 児童手当額の改定通知書を市内29世帯に送付した際、裏面に別の計11世帯の世帯主の氏名や住所、児童扶養手当額などが記載された通知書が混入

18

美術館

ウィルス感染 会員や職員ら計515人分のメールアドレスが外部に流出 会員から「ウイルス付きのメールが届いた」と連絡があり発覚

19

保険会社

帳票紛失 顧客約3千人分の氏名や保険の証券番号が記載された帳票を紛失 誤廃棄の可能性

20

総務省

メール誤送信 都道府県の事務担当者へ電子メールを送信した際、担当者以外の方のメールアドレスにも誤って送信 関係者以外にメールを誤って送信

21

電力会社

請求書紛失 氏名や住所、請求内容5人分

22

保険会社

ネットで閲覧 氏名(または社名)、生年月日、住所、電話番号、契約内容(生損保)、金融機関の口座情報、保険事故情報437人分の顧客情報 代理店に勤めていた男性が、私有のパソコンに顧客情報を入れていたところ流出

23

市立小学校

USBメモリ紛失 児童182人の様子が撮影された写真817点や、平成25年度の5年生19人が書いた作文などの情報 通行人が路上で拾い、学校に連絡

24

販売サイト

不正アクセス クレジットカード決済を利用した72人の氏名、住所、カード番号、有効期限、セキュリティコードなど 委託先において、ウェブサーバが不正アクセス

25

北海道

ハードディスク紛失 主催する研修の受講者9323人の氏名や生年月日、所属、職名など含む名簿のほか、障害者510人分の施設入所者意向調査、113人分の個別相談案件、各種協議会の委員名簿などあわせて1万259件 所在不明

26

記念病院

持ち出し 患者の氏名や住所、電話番号、通所介護の自己負担割合、介護保険の有無、要介護度などのデータ 元職員が、在職中に患者の個人情報を持ち出し、あたらしく開設する介護事業所の案内状送付に利用しており、住所を知らないはずの介護事業者からダイレクトメールが届いたと患者から連絡があり、同院で調査を行ったところ判明

27

信用金庫

帳票紛失 顧客の氏名や住所、電話番号、生年月日が記載されていたキャッシュカート取引依頼書や変更届、確認記録書など顧客情報725件 大半は店舗内で廃棄したとする一方、一部は店外に誤って持ち出されていた可能性

 「26」は元職員が在職中に患者の個人情報を持ち出し、新たに開設する介護事業所の案内状送付に利用していた事案です。住所を知らないはずの介護事業者からダイレクトメールが届いたと患者から連絡があり、同院で調査を行ったところ判明したものです。本件は、一時的な金銭目的による名簿業者等への売却ではなく、転職や独立のために既存患者(顧客)情報を持ち出したというケースです。個人情報だけに限らず、技術情報等の営業秘密が競合他社等へ流出する場合は、当然ながら中途退職者が多く関与しています。(持ち出されたことにも気づかず、いつの間にか競争力を損なうようなこともあります)

 当事者が重要情報へのアクセス権を有し、かつ情報の価値を十分認識していたということであれば、持ち出しの制限に対する管理上の限界はあるものの、情報の複製やイレギュラーな操作に対して検知する仕組みや、管理者を管理する監視の目が必要になります。

 また、情報の管理面から見た場合、不正競争防止法違反ということであれば、営業秘密として一定程度の管理レベルは満たしていたと考えられますが、退職者や従業員との秘密保持に関する誓約の状況などについては、皆さんにおかれましてもあらためて確認する必要があるといえます。

 その他営業秘密の持ち出しにかかる事案では、2015年4月、家電量販店大手のエディオンの元課長が同業の上新電機への転職に際し、エディオンの営業情報を不正に取得したとして不正競争防止法違反容疑で逮捕起訴されました。この事案では、大阪府警が法人である上新電機についても、不正競争防止法上の両罰規定により、同法違反容疑で書類送検したことが報じられています。

 不正競争防止法には従業員が違反行為をした際、業務主体としての法人に対して3億円以下の罰金を科することができる両罰規定があります。報道によると、上新電機が組織として営業秘密の不正取得を指示したり、関わったりした事実は認められなかったものの、被告が情報を不正取得したのは業務に関係しているため、両罰規定を厳密に適用することを検討しているとのことです。

 ※不正競争防止法の両罰規定による罰金の最高金額は3億円となっていますが、現在閣議決定され今国会において不正競争防止法の改正が行われると罰金の最高金額が10億円となります。

 本件は、企業側の情報の不正取得について「従業員が勝手に行ったこと」では免責理由としては十分ではなく、企業として不正に取得された情報の流入に関する関与に対しても厳重に管理していく必要があることを示しています。

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

 【お問い合わせ】

 株式会社エス・ピー・ネットワーク 総合研究室

 Mail:souken@sp-network.co.jp

 TEL:03-6891-5556

Back to Top