情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
(1)個人情報保護法およびマイナンバー法の改正
9月3日、個人情報の保護に関する法律(以下「個人情報保護法」)と、行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー」)の改正法が衆院本会議で、自民、公明、民主などの賛成多数で可決、成立しました。法案は今年5月に衆院で可決しましたが、日本年金機構の個人情報流出問題を受けて参院で法案が修正され、改めて衆院で採決となりました。
▼内閣官房「個人情報の保護に関する法律及び行政手続きにおける特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案(概要)」
【法改正の概要】
- 個人情報の取扱いの監視監督権限を有する第三者機関(個人情報保護委員会)を特定個人情報保護委員会を改組して設置
- 特定個人情報(マイナンバー)の利用の推進に係る制度改正
- 個人情報の定義の明確化(身体的特徴等が該当)
- 要配慮個人情報(いわゆる機微情報)に関する規定の整備
- 匿名加工情報に関する加工方法や取扱い等の規定の整備
- 不正な利益を図る目的による個人情報データベース等提供罪の新設
- 本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化 など
個人情報保護法については、膨大に蓄積される個人情報をビッグデータとして活用する際の利用環境を整備することを目的としています。法施行は再来年の2017年1月頃の予定としていますが、現段階では匿名加工情報の加工方法や、安全管理、公表の基準等、肝心な細かいルールの多くが、今回の改正で設置される「個人情報保護委員会」が定める規則に委ねられており、今回成立した改正法だけでは、新たなルールの全容がまだ見えません。
そもそも企業が守るべき個人情報の範囲がまだ明確ではありません。携帯電話の番号やスマートフォンの位置情報など、グレーゾーンにあたるパーソナルデータが増えており、取り扱いに注意する必要があります。政府は、近く具体的な事例を示しながら、政令などで企業が守るべき範囲を定める方針を示すとされています。個人情報保護法の改正部分については、現状マイナンバーがクローズアップされ、あまり報道などでも取り上げられていませんが、事業者としても留意すべき点は多いと言えます。リスク管理上の注意点については、次回の情報セキュリティトピックスで取り上げたいと思います。
マイナンバーについては、来年1月に制度運用が始まる社会保障と税の共通番号を、将来、金融・医療分野でも利用できるようにするというものです。マイナンバー制度導入の目的は、①番号を利用した効率的な行政事務の処理と確実かつ迅速な情報の授受、②公正な給付と負担の確保を図る、③手続きの簡素化と負担軽減とされており、簡単に言うと、名寄せの利便性、手間の削減やそれに伴う処理速度の向上であり、財政再建のための徴税の強化と脱税や年金の不正受給を防ぐ狙いがあります。
2018年には任意で預貯金口座にマイナンバーを登録する制度が開始される予定です。また、過去に受けた予防接種や健康診断履歴(身長・体重・腹囲といった身体計測データだけでなく、血圧や検尿、血液検査といった医療情報)をマイナンバーで管理して、転職や転居をしても次の健康保険組合や自治体に引き継げるようにすることも検討されており、今後の普及次第ですが、戸籍やパスポート、公務員の身分証明書や民間企業の社員証などへの利用拡大が見込まれています。
その他にも、主旨は若干異なりますが、財務省の案として新たな還付金制度の骨格がマイナンバーと絡み報道されています。プライバシーの侵害との批判も多いようですが、2017年4月の消費税率引き上げ後消費税負担を軽減するための措置として、消費者は買い物のたびに店側にマイナンバーカードを提示するというものです。実効性があるかは別問題として、インフラとしてのマイナンバー普及に向けた各方面での方策が活発に検討されている状況が窺えます。
【財務省案】
- 消費者はマイナンバーカードを提示して買い物(いったん10%の消費税を支払う)
- マイナンバーカードに埋め込まれているICチップに購入情報が記録される
- 後日、事前登録した金融機関の口座に還付金が振り込まれる
(2)懸念事項と課題
マイナンバーが必要になる場面は、今のところ、税と社会保障に関する書類を作成するときのみに限られます。例えば、税関係では源泉徴収票、支払調書、扶養控除などです。
社会保障では、被扶養者届、被保険者資格取得届、離職票などで、有価証券の取引口座、保険料の支払いや解約返戻金を受ける際も、税が関わってくるので必要になります。個人番号カードで本人確認するか、あるいは通知カードの場合は、免許証やパスポートによる本人確認が必要となります。つまり、現状では、悪意を持った誰かが番号を手に入れたとしても、マイナンバーは本人確認をせずに何らかの手続きに使用することはできないので、たとえマイナンバーだけを入手されても、本人不在で年金の受給がおこなわれるなどの犯罪で利用される可能性は低いと言えます。ただ、今現在もいわゆる「名簿業者」が個人の勤め先や収入、出身校のデータをいつの間にか持っているように、今後も個人情報は少しずつ漏えいしていく可能性はあります。そのときに個人が特定される数字があることで、散在している情報が紐付けされて、詳細かつ膨大なデータになってしまうリスクはあります。
▼内閣府「マイナンバー(社会保障・税番号)制度に関する世論調査」
上記調査は2015年7月23日から8月2日にかけて実施されたもので、マイナンバー制度の認知度や懸念点、期待などについて聞いています。
マイナンバー制度の認知については「内容まで知っていた」が43.5%(2015年1月調査では28.3%)、「内容までは知らなかったが、言葉は聞いたことがある」が46.8%(同43.0%)、「知らなかった」が9.8%(同28.6%)となっており、1月調査時点に比べて認知、理解度ともに上昇していることがわかります。一方、マイナンバー制度に関する懸念として「最も不安に思うこと」としては、「マイナンバーや個人情報の不正利用により被害にあうおそれがあること」が38.0%(同32.3%)と最も多いという結果となっています。また、懸念事項があると回答した人に対してどのような対応が必要だと思うかという問いに対しては、「社会保障と税などに関する記録など個人情報を、いつ、誰が、なぜ見たのかを確認できる仕組み」が43.1%(同43.7%)、「政府から独立した強い権限を持つ第三者機関による監視」が43.0%(同49.8%)などとなっています。
マイナンバー制度の開始にあたって、すべての民間企業では従業員やその扶養家族などの個人番号を取り扱う義務が生じます。大きく影響するのは、社会保険・税分野の書類作成や提出の義務がある経理や総務、人事などの部門ですが、実際はもっと社内横断的な、全社的な対応が必要になります。例えば、実務的には、従業員の社会保険・税分野の書類を集める立場にある各部署の所属長、さらに個人番号の管理や帳票への出力などをおこなう情報システム部門も個人番号を取り扱う必要性が出てきます。
また、社内のみならず外部への対応も必要になります。フランチャイズ企業では各オーナー、あるいは講演依頼や業務委託などの受託者、株主などに個人番号を求める場面が生じます。つまり、社内外問わず、個人にお金が流れる場面では必ずマイナンバー提供が伴うため、全従業員がマイナンバーの基本知識を心得ていることが業務を円滑に進めるうえで重要だと言えます。
(3)事業者としての準備
マイナンバー制度開始に向けた事業者の押さえておくべき大まかな準備事項については、下記のサイトをあらためてご確認ください。
▼情報セキュリティトピックス 2015年5月号 ~マイナンバー制度開始に向けた最近の動向~
「準備する内容」
(その1) 制度の理解と全従業員への周知
(その2) 制度開始にともなう対象業務と対象者の洗い出し
(その3) 運用ルール、ポリシー、ガイドラインの構築
(その4)対象業務のシステム改修や変更
(その5)社内研修・教育の実施
マイナンバー制度の運用にあたり、事業者は特定個人情報を収集・保管・提供できる範囲や、特定個人情報ファイルを作成できる範囲などが制限されるほか、個人番号の提供を受ける際の厳格な本人確認、各種の安全管理措置への取り組みなどが求められます。特にマイナンバーの安全管理という面では、現在の個人情報管理体制が形骸化していないかも今一度確認及びチェックする必要があります。
実際に現場の業務がどのようにおこなわれていて、本来あるべき姿からの乖離がないか、また当初想定していた管理体制が不十分になっていないか等、現状の管理体制の不備を(把握できていない状況自体も含めて)リスクと認識し、見直していく必要があります。物理的・技術的安全管理措置の観点はもちろんのこと、情報管理に関する現行のルールの存在の周知(社員教育等)はもとより、さらなる厳格化の検討や内容の明確化、管理職によるルール順守状況の確認徹底、規制やセキュリティホールへの継続的対処といった人的・組織的な管理措置の観点まで含めて、総合的かつ徹底的に進めていくことがマイナンバー制度開始に向けた準備の一つであると言えます。
※取得と本人確認
マイナンバー取り扱いに当たって、各企業は具体的にどのような対応をしなければいけないのか、制度開始直前に迫った今、労力を費やされ注意すべき点は「取得」と「本人確認」の部分だと思います。
取得の時期の問題とは、「いつ、どのタイミングで収集するか」であり、従業員との関係でいえば、源泉徴収票等の書類は毎年提出されるものですから、毎年取得しなければならないのか、それとも入社時に取得しそれを毎年利用できるのかが問題となります。
株主との関係においても同様で、配当の際には支払調書を出しますが、その時点で取得するのか、あるいは株主になったときに取得してしまってよいのか、という問題がありますが、従業員に対しては入社時に一度取得すればそれを毎年使うことができ、株主においても、株主になった時点で取得することができるとされています。つまり、入社したばかりや、株主になりたての時期であっても、将来源泉徴収票や支払調書を作成することが予定されているのであれば、前もって取得してもかまわないとされています。
「本人確認」については、個人番号を提供される場合、企業側は、必ず従業員である提出側の人物がその番号を所有する本人であることを確認する必要があります。確認は①番号確認、②身元(実在)確認の2点において実行されなくてはなりません。番号確認は、従業員が出してきた個人番号が正しいかどうかの確認で、身元(実在)確認は、窓口にやってきた従業員が実在する人物かどうかの確認です。
本人確認の方法については、対面だけでなく、郵送、オンライン、電話によりマイナンバーを取得する場合にも、同様に番号確認と身元確認が必要となります。遠隔地や直接対面で個人番号の収集ができない場合は、通知カードの写しの郵送やPDFファイルのオンラインによる送信も可能となっています。
国税庁では、企業でオンラインによる個人番号の収集において、本人と確認できる電子メールアドレスで、ID、パスワードを使用した場合、「身元確認」をしたものとし、個人番号の収集を認めることとしています。なお、いずれ各個人番号利用事務実施者別(主に行政機関)に、それぞれ対応策が決められていくものと思われますが、各事業者の拠点や従事する業務に留意して検討していく必要があります。
国税庁では、個人番号の提供を受ける際に実施する本人確認方法について、想定される個人番号の提供を受ける様々な場面における本人確認方法の具体例を公開していますのでご参照ください。
(4)最近の個人情報漏えい事故(2015年8月)
下記の表は、先月8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 市 | 書類紛失 | 顧客6人分の氏名や住所、水道料金 | 数時間後、付近を捜索中に近くの草むらで当該リュックを発見し、回収 |
| 2 | 国立大学 | USBメモリ紛失 | 職員2人や派遣職員14人、学生6人の氏名 | 自宅で資料を作成するためUSBメモリにデータをコピーして持ち帰り |
| 3 | 市立中学 | USBメモリ紛失 | 生徒の氏名や試験結果など約1500人分 | 車上荒らしに遭い、車内に置いたままにしていたUSBメモリや書類を盗まれる |
| 4 | 不動産 | メール誤送信 | メールアドレス1116件 | 誤って宛先に設定 |
| 5 | 市 | 携帯電話紛失 | 市職員の氏名や電話番号などが記録されており、登録件数は不明 | 外出先で紛失 |
| 6 | 銀行 | 書類紛失 | ジャーナルには顧客86人分の氏名や口座番号、カード番号、取引金額、残高 | 委託先で誤って廃棄した可能性 |
| 7 | 市 | メール誤送信 | 講座参加者へのメールアドレス15件 | 誤って宛先に設定 |
| 8 | 地方裁判所 | USBメモリ紛失 | 民事訴訟のデータや既に終わった事件の判決文など、裁判当事者29人分 | 私物のUSBメモリを紛失 |
| 9 | スーパー | 書類紛失 | キャンペーンの応募用紙で、応募用紙には、応募者の氏名や住所、電話番号 | 誤廃棄の可能性。 |
| 10 | 大阪府 | 書類紛失 | 請負業者と現場代理人9人の氏名や住所、学歴、職歴、顔写真 | |
| 11 | 国立大学 | 書類紛失 | 学生108人の氏名や学籍番号、出欠状況などが記載された書類 | 同大の講師が帰宅時の電車内で、足元に置いていたバックを置き引き被害により紛失 |
| 12 | 専門学校 | メール誤送信 | 訓練生26人の氏名やメールアドレス | 誤って宛先に設定 |
| 13 | 市立大学 | 書類紛失 | 聴講生11名の氏名や住所、本籍地、成績等 | 誤廃棄の可能性 |
| 14 | 市 | PC盗難 | 災害時に手助けが必要な人や障害がある人など、およそ740人分の名前や住所、病名 | 自宅で盗難 |
| 15 | 総合病院 | ハードディスク盗難 | 11万4400人分の診療情報 | 職員が盗難の容疑で逮捕 |
| 16 | 国立大学 | PCのウィルス感染 | 調査の対象者約1万人分の情報 | |
| 17 | 旅行予約サイト | 不正アクセス | 顧客のメールアドレスとパスワード1万8592件 | |
| 18 | 協会 | 不正アクセス | セミナー参加者13人の氏名、住所、電話番号、メールアドレス、一部企業名やファックス番号 | 第三者機関からの通報で発覚 |
| 19 | コンビニエンスストア | 書類紛失 | 顧客の氏名や住所などが記載されていた料金収納払込票54件 | 配送ドライバーが料金収納払込票を入れた袋を回収袋ごと紛失 |
| 20 | ホテル | 不正アクセス | 123件のアカウントでポイントの不正交換がされ、氏名や住所、電話番号、性別、生年月日、会社名、宿泊履歴など、個人情報が流出した可能性 | |
| 21 | 不動産 | メール誤送信 | メールアドレス1116件。(304件は宛先不明で届かず) | 誤って宛先に設定 |
| 22 | 機構 | ウィルス感染 | 関係者の氏名や住所、電話番号、メールアドレスなど、最大215人分の個人情報 | 「Flash Player」の脆弱性によってパソコンがマルウェアへ感染 |
| 23 | 市 | メール誤送信 | 市民49人分のメールアドレス | 「Flash Player」の脆弱性によってパソコンがマルウェアへ感染 |
| 24 | 学習塾 | 携帯電話盗難 | 受講者316人分の財布や携帯電話118台 | |
| 25 | 社会福祉法人 | USBメモリ紛失 | 施設の利用者114人の個人情報 | 立ち寄り先に鞄ごと置き忘れ、紛失 |
| 26 | Webメディア | システム不具合 | ニックネームやメールアドレス、都道府県、性別、生年月日などで、実際にメーリングリストが閲覧されたのは1件 | |
| 27 | 海外研修事業 | 書類紛失 | 参加生徒16人と引率教員2人のパスポートコピーと参加者名簿。氏名や住所、電話番号、生年月日、性別、パスポート番号などが記載されている。また、6人分のアレルギー質問書 | |
| 28 | 関西広域連合 | 不正アクセス | メールマガジン登録者のアドレス1165件 | |
| 29 | Webサービス | 不正アクセス | 会員のメールアドレス2万421件 |
8月20日、日本年金機構は外部からの標的型攻撃で約125万件の年金情報が漏えいした問題について、調査結果を公表しました。
▼日本年金機構「不正アクセスによる情報流出に関する調査結果報告について」
デジタルフォレンジックによる調査結果では、不正アクセスのログ解析から、端末31台、認証サーバー1台、共有ファイルサーバー1台ウィルスに感染したとされています。また、調査結果によると、個人情報の流出は5月21日~23日に起きており、標的型攻撃を狙って機構に送付された不審メールは、合計で124通だったとしています。そのうち、メールの添付ファイルなどを開封した職員は合計5人で、年金加入者・受給者の個人情報の流出は、機構がこれまで公表してきた「125万件」以外に、確認されていません。その一方で、機構職員の個人情報が225件流出していたことや、機構内の業務マニュアル、業務用のメールアドレスなども流出していた可能性があることが新たに判明しています。
▼サイバーセキュリティ戦略本部「日本年金機構の個人情報流出事案に関する原因究明調査結果」
【サイバーセキュリティ戦略本部による調査結果概要】
- 急速な感染拡大は、ローカル管理者権限の悪用によるもの
- 厚労省は、標的型攻撃に対する多重防御の取組を進めていたが、機構の情報系ネットワークは対象外で取組が不十分
- 標的型攻撃からの有効な遮断機能を有すると考えられるインターネットに接続していない業務系からインターネットに接続をしている情報系に個人情報を移して取り扱ったため、リスクが高まった
▼厚生労働省「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書について」
【厚労省による調査報告概要】
- 機構、厚労省ともに、標的型攻撃の危険性に対する意識が不足、事前の人的体制と技術的な対応が不十分
- インシデント発生後、現場と幹部の間、関連する組織間に情報や危機感の共有なく、場当たり的対応に終始した
- その他の指摘
- 組織としての一体感のなさが、今回の事案を契機にそのまま表れた
- 機構LANシステムのディレクトリサーバの管理者権限が窃取された脆弱性は昨年以来指摘されていたもの
- 端末における管理者IDとパスワードが全て同一であったことで、短時間に広範囲の端末へ感染が拡大
- ログの採取は実施していたが、監視(モニタリング)は常時行われていたわけではなかった など
今回の日本年金機構への攻撃は、いずれにしても、仕事などの要件を装った電子メールによる「標的型攻撃」がすべての入り口になっているとされています。日本年金機構に対して、メールの添付ファイルを不注意に開くことへの批判も見受けられますが、本件だけではなく、標的型攻撃は日々精度が高くなり、手口が巧妙化しています。業務で毎日電子メールを利用せざるを得ない以上、そのリスクをしっかり認識したうえで組織的な体制や対策を検討する必要があります。
標的型攻撃メールとは、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものです。標的型攻撃メールは、あたかも業務に関係があるメールであるかのように送信者名、件名、本文を巧妙に装っており、普段から注意し、あやしい添付ファイルは開かないように心掛けていても、送信者が業務に関係のある信頼できる組織で、メールの件名が自分の業務に関係がありそうなものになっていれば、つい信用してメールを開いてしまう可能性があります。標的型攻撃メールは新しい手法ではありませんが、より関係者に近いように見せかけ、より精度の高い巧妙な手口でアプローチがなされ、攻撃を可能としてしまっているので注意が必要です。
人の注意だけで騙しを完全に防ぐことは非常に困難ですが、一方で、実際の攻撃を見てみると、注意すれば不審な点に気づける攻撃が多いことも事実です。典型的な手口を知ることや訓練などして攻撃に備え、多層的な防御策の一つとして、情報を取り扱う「人」の注意力を高める努力を怠らないことが肝心だと言えます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
