マイナンバー制度と情報セキュリティ対策について ジェイズ ソリューション株式会社 2015 年 9 月 1 日
この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です
もくじ 1. マイナンバー制度 とは (1) マイナンバーについて事業者が行うこと (2) マイナンバー制度 を知るための情報 (3) 誤った情報で過大なマイナンバー対策を行わないために 2. マイナンバーと情報セキュリティ対策 (1) 個人番号 個人情報の情報漏えいリスクとは 3. 情報漏えいが生じる要因と対策 (1) 情報漏えいが生じる要因 (2) 情報漏えい対策 4. 3つの情報セキュリティ対策 (1) マイナンバー ( 個人番号 ) と社員の個人情報に絞った保管サービス (2) 自社で設備を導入し運用体制を整えて情報漏えい対策を講じる方法 (3) 情報セキュリティサービスを提供する会社を活用する方法
1. マイナンバー制度 とは マイナンバーは下記に関連する個人情報をつなぐ ため国が決めた個人番号です 金融資産 所得 年金 マイナンバー制度は公平な税制 ( 金融資産情報 所得情報一元化を含む ) や公正な社会保険制度 ( 社会保障費用の重複やムダを減らす ) と災害時の住民情報対策のため 国民全員に1つの番号を付与し目的を実現する制度です 雇用保険 マイナンバー 介護保険 健康保険 医療
(1) マイナンバーについて事業者が行うこと 税務署 市町村 年金事務所 健康保険組合 ハローワーク 社会保険算定基礎 月変届 個人番号を保管 届出等に使用 訂正 利用停止等 社会保険資格取得 喪失届 ( 含む扶養家族 ) 源泉徴収税報告等 事業所 退職従業員の個人番号を廃棄 ( 原則保管しない ) 従業員と扶養家族の個人番号を取得 ( 提示を受け 番号と身元を確認 登録 ) 従業員の扶養家族届受付 個人 ( 社員等 ) 事業所は社員から個人番号 ( マイナンバー ) の提示を受け確認し 社会保険 源泉徴収税等の手続 き 報告に個人番号を記載して提出しますこのため 個人番号を保管します 行うことはこれまでの人事等事務に少し事務が加わるだけですご安心ください
(2) マイナンバー制度 を知るための情報 マイナンバー制度 の目的 概要の説明は各所から情報が提供されています 国の担当機関 ( 特定個人情報保護事務局 ) から出されている主な資料は次のとおりです * マイナンバー制度 :2015 年 10 月以降に 番号の通知 が行われ 2016 年 1 月から実施 内閣官房のホームページ公式 twitter コールセンター :http://www.cas.go.jp/jp/seisaku/bangoseido/index.html :https://twitter.com/mynumber_pr :0570-20-0178 ここがポイントマイナンバーガイドライン ( 事業者編 ) 特定個人情報保護事務局作成 http://www.ppc.go.jp/files/pdf/270213shacho.pdf#search='%e3%83%9e%e3%82%a4%e3%83%8a% E3%83%B3%E3%83%90%E3%83%BC%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82 %A4%E3%83%B3' 中小企業向けはじめてのマイナンバーガイドラインーマイナンバーガイドラインを読む前に 特定個人情報保護事務局作成 http://www.ppc.go.jp/files/pdf/270213chusho.pdf#search='%e7%95%aa%e5%8f%b7%e6%b3%95+ %E4%B8%AD%E5%B0%8F%E4%BC%81%E6%A5%AD'
(3) 誤った情報で過大なマイナンバー対策を行わないために マイナンバー情報保護のため情報セキュリティ対策を講じないと罰則がある のではとお聞きしたことがありますが 個人番号法 ( 行政手続における特定の個人を識別するための番号の利用等に関する法律 ) や国のガイドライン (3. マイナンバー制度 を知るための情報参照 ) を読ませていただく限りそのような記載はありません 個人番号法に 1. 正当な理由なく特定個人情報を提供した場合 2. 不正利益目的で個人番号を提供 盗用 漏えいした場合についての罰則を定めていますが 外部からの侵入者による情報漏えいや内部からの情報漏えい犯罪が該当し 事業主の方々が罰則に該当するとは思えません主として官公庁 自治体でマイナンバーを取扱われる方がこのようなことを行わないよう罰則が設けられています
個人情報保護法に準じた情報セキュリティ対策が必須という考えと罰則が個人情報保護法よりきびしくなるということから誤った情報が生じたようですマイナンバーと個人情報が情報漏えいし犯罪に悪用されるケースはありますので情報セキュリティ対策を講じられることをガイドラインでも勧めておられますが 実施の範囲 内容は事業者に委ねられていますガイドラインでは中小企業の実施にともなう負担を軽減するため 望ましい という努力義務として記載しておられます 正しい情報 個人番号法対象企業 マイナンバー情報漏えいによる被害を考え 個人番号法の罰則は個人情報保護法よりきびしくなっている 個人情報保護法対象企業 5000 件以上の個人情報 ( 社員 顧客等 ) を所持し事業に用いている事業者が対象情報セキュリティ対策は必須で罰則もあります
2. マイナンバーと情報セキュリティ対策 罰則がなくともマイナンバーを管理する上でセキュリティ対策が重要なのは変わりありません 情報漏えいしたときに第三者に悪用される懸念があるためです 自社の重要な情報 個人情報個人番号 顧客情報 機密情報 外部からの侵入 窃盗のリスク 内部からの情報漏えい
(1) マイナンバー 個人情報の情報漏えいリスクとは マイナンバーは 12 ケタの番号だけにもかかわらず 情報漏えいのリスクが言われるのは 個人情報 ( 氏名 生年月日 住所 電話番号 メールアドレス等 ) とマイナンバー情報を組み合わせた情報が漏えい すると なりすまし 犯罪等に悪用されるリスクがあるためです これまでも個人情報情報漏えいによる なりすまし 犯罪や無断での DM 等送付やメール送付はありましたが マイナンバーは本人であることの公的な証明用途にも使用されるため なりすまし 犯罪のリスクは高まります 個人番号 個人情報 情報のデジタル化で大量コピーも簡単に ネットワーク利用で盗みやすくなり紛失も増えています情報セキュリティ関連の犯罪は世界中で増加し悪質化しています
3. 情報漏えいが生じる要因と対策 (1) 情報漏えいが生じる要因 A. 社外から侵入され情報が漏えい ( 漏えいの内 2% と少ないが悪質な犯罪が多く被害も大 ) 侵入方法 : 不正アクセスで侵入メールにウィルスソフトを組み込み侵入社内からインターネットを利用 不正なソフトウェア等が組み込まれたサイトを閲覧 社内にこのソフトウェアが侵入ウィルスソフトが入っている外部から持ち込まれたPC 等を社内ネットワークに接続 B. 社内におられる方から情報が漏えい ( 漏えいの内 85% と多いが大半はミスによるもの ) 社内におられる方が無断で個人情報を取り込んで持ち出すケース (= 窃盗 ) もありますが メールに誤って個人情報を添付して外部に送るケースや個人情報の入った PC 携帯電話 外部記憶媒体を紛失 盗難されるケースが大半です 個人情報漏えい事故の 90% は従業員 50 名未満の企業で発生しています ( 経済産業省調 )
(2) 情報漏えい対策 A. 運用ルール 規定による主な対策 ( 社内向け対策が主 ) 分別権限設定暗号化運用規定 : 個人情報は特定のファイルに保管する : 個人情報のある特定のファイルにアクセスできる権限のある人は特定し 特定の人か否かはID パスワードで認証する : 個人情報の特定のファイルは暗号化し 外部とやりとりするときも暗号化し 暗号を開封するのにはID パスワードが必要にする : 分別 権限設定 パスワード設定 暗号化の運用について規定し その運用を監査して実行を確実にする B. 情報セキュリティ機器 ソフトウェアによる主な対策 FW : 外部ネットワークとの接続にはファイアーウォールを設け外部からのアクセスから防護する UTM : メールによるウィルスをチェックし防護する WAF : ホームページやECサイトのアプリケーション利用を通して侵入するのを防護する不審プログラム検知 : 異常なふるまいを検知して侵入を検知するログ管理 : 個人情報のある特定のファイルへのアクセス記録を報告し不審なアクセスを明らかにする 対策の概要は次ページ 情報漏えい対策概略図 のとおりです
情報漏えい対策概略図 ファイアウォール機能付ルータ WAF WebApplicationFirewall ホームページ用サーバ UTM EC サイト用サーバ ログ管理ソフト ふるまい検知 各人の PC 個人番号等の重要情報を置く共通サーバ
4. マイナンバー 3 つの情報セキュリティ対策 現在 各社がご提案されているマイナンバー制度対策を含む情報セキュリティ対策には主として次の 3 種類があります この対策とともに対象情報取扱いについての社内体制 ルールを社内外に明確にするため規定の制定は必要です (1) マイナンバー ( 個人番号 ) と社員個人情報に絞った保管サービス マイナンバーを外部の情報セキュリティ対策が講じられたサーバで保管し 事業主は情報セキュリティ対策の運用を行わなくてもよい方法です マイナンバーが関係する源泉徴収税や社会保険手続きを行うための給与計算等もともに運用するしくみもあり 事業主にとって従業員からマイナンバーの提示を受け確認 登録を行えば 保管 廃棄の運用は受託会社が行います 低価格で運用負担少なくマイナンバー対策を講ずることができます
(2) 自社にとって重要な情報 ( マイナンバーや社員個人情報を含む ) のセキュリティ対策を講ずる方法 企業はマイナンバー以外にも顧客情報 生産機密情報をはじめとした情報漏えい防止が必要な重要情報を保有しておられますマイナンバー以外の重要情報についても情報セキュリティ対策を講じられる方法です方法には大きく分けて次の2つの方法があります (2-1) 自社で設備 ( 機器 ソフトウェア ネットワーク ) を導入し運用体制を整えて情報漏えい対策を行う方法 自社に適した情報セキュリティ対策を実施できます 自社で設備を導入し 体制も整え運用も自社で行うため多くの場合 費用負担は大きくなります個人情報保護法適用会社の多くが設備や体制までは整えられましたが運用が不十分なため情報漏えい事故が生じている事実があります運用も考えての検討が望まれます ログ管理 侵入検知 検疫 ファイアウォール UTM 社内の PC
(2-2) 情報セキュリティサービスを利用する 外部セキュリティサービス会社を活用する方法です 提供されているサービスには次のようなものがあります マイナンバー 個人情報を含む自社の重要情報を 外部セキュリティサービス会社の保管サービス ( 保管情報はバックアップの運用も行われ安全です ) 外部からの侵入防止を低価格で行うサービス ログ管理サービス 運用負担が少ないのでサービスが自社に適したものであれば費用対効果が高い方法です ファイアウォール UTM サービス ログ管理サービス 重要情報保管サービス 社内の PC
< 選択のポイント > マイナンバーや個人情報をデジタル化し 外部ネットワークと接続して利用する マイナンバーや個人情報の取扱い運用ルールを決め マイナンバー情報は金庫等で保管 マイナンバーと個人情報以外の重要情報についても 情報セキュリティ対策を講じる 情報漏えい対策をマイナ ンバーと社員個人情報に 絞って実施される場合 マイナンバー等の外部保管サービスの利用と社内の外部ネットワーク接続について情報セキュリティサービスを利用する 自社に適した外部情報セキュリティサービスを利用する 初期投資と運用負担が必要 自社で情報セキュリティ機器 ソフトを購入し 自社で運用する 外部向けセキュリティサービス 重要情報保管サービス アクセスログ管理サービス
お問い合せは下記まで ジェイズ ソリューション株式会社 104-0033 東京都中央区新川 1-16-3 住友不動産茅場町ビル TEL :03-6222-8598 FAX :03-6222-8597 MAIL :sol@js-solution.jp