マイナンバー制度における 個人情報保護と情報漏えい対策 エムオーテックス株式会社 2015.03
目次 1. マイナンバー制度と情報漏えいについて 2. マイナンバー対策としての LanScope Cat のご紹介 - 組織的安全管理措置の対策 - 技術的安全管理措置の対策 1
マイナンバー制度と 情報漏えいについて
マイナンバー制度の概要 2016 年 1 月からマイナンバー制度が開始されます 社会保障 税番号 ( 通称 : マイナンバー ) 制度 は すべての個人に対して 12 桁の一意の個人番号を割り当て 複数の機関に存在する個人情報を紐付けて 各機関間での情報連携を可能とする制度です 利用範囲は 社会保障 税 災害対策 の行政手続きに限定され 個人番号は個人情報保護の対象になります 利用範囲 個人情報保護 社会保障 税 災害対策 個人番号 特定個人情報 3
マイナンバー制度の対応 マイナンバー制度はすべての企業で対応が必要です 個人の所得が発生するところ全てに個人番号を業務利用する必要があります 例えば 企業が社員に給料の支払いをするときには 社員の個人番号を集めて 給与支払報告書 に記載のうえ 社員の住む地方公共団体に提出しなければなりません 個人番号を取り扱う主な業務 民間企業における主な関係部門 所得税の源泉徴収住民税の特別徴収社会保険料の支払 事務手続き法定調書の提出 総務部人事部経理部 情報システム部 個人番号に関わる業務を委託 受託する部門や個人との取引がある部門も関係部門になる場合があります 4
マイナンバー制度の安全管理措置対象 個人番号を含んだ個人情報が保護対象になります 個人番号を含んだ個人情報が 特定個人情報 と呼ばれ 保護対象になります たとえば 従業員の氏名 性別 生年月日 住所などの 個人情報 と 個人番号 を組み合わせた情報が 特定個人情報 です 安全管理措置対象 特定個人情報 個人番号 社員名簿 個人情報 マイナンバー 社員コード 氏名 住所役職名所属部課 生年月日 123456789012 000001 田中一郎 100-0000 東京都千代田区 町 1-2-3 代表取締役 3/10/1960 *********** 000002 ***-**** XXXXX **/**/**** *********** 000003 ***-**** XXXXX **/**/**** *********** 000004 ***-**** XXXXX **/**/**** *********** 000005 ***-**** XXXXX **/**/**** *********** 000006 ***-**** XXXXX **/**/**** 5
罰則規定 特定個人情報の漏えいには厳しい罰則が課されます 番号法は個人情報保護法と比較して違反行為に対しての罰則が強化されています 例えば 従業員が特定個人情報を不正に漏えいした場合は 以下の罰則が課される場合があります 従業員個人に 4 年の懲役 200 万円の罰金刑 所属企業には 200 万円の罰金刑 個人情報保護法 番号法 対象個人情報 ( 個人データ ) を 5,000 件以上保有する企業全ての事業者 第三者への 情報提供 本人同意があれば可 本人同意があっても原則禁止 情報の廃棄規定なし保存期間後は廃棄 削除が必要 故人の情報保護の対象外保護対象 刑事罰 6 ヶ月以下の懲役 30 万以下の罰金など 違反者 4 年以下の懲役又は200 万円以下の罰金又は併科など 違反者の使用者 200 万円以下の罰金 6
マイナンバーの情報漏えい対策のポイント 保管 利用 提供 での漏えい対策が重要です 従業員から個人番号を預かる 取得 から 従業員の退職時に保管していた個人番号を削除する 廃棄 まで適正な取扱が必要です 特に保管 利用 提供のフローで情報漏えいリスクが高まります 取得 保管利用提供破棄 特定個人情報ファイル 人事 給与システム 資格取得届ーーーーーーーーーー源泉徴収表ーーーーーーーーーー 権限がない人が不正をできないように 権限がある人が不正をしないように 7
内部からの有効な情報漏えい対策 最も効果的な情報漏えい対策は 操作ログの取得 内部要因の情報漏えい対策は 操作証拠が残る 操作が監視されている 違反すれば処罰される ID パスワードの管理徹底 が 不正行為の抑止力として有効です 従業員の内部不正の意識が低下する対策 順位割合 1 内容 1 位 54.2% 社内システムの操作の証拠が残る 2 位 37.5% 顧客情報などの重要な情報にアクセスした人が監視される 3 位 36.2% これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 4 位 31.6% 社内システムにログインするための ID やパスワードの管理を徹底する 5 位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 1 内部不正への気持ちが低下すると回答した回答者の割合 ( 社員 :n=3,000) 情報処理推進機構 (IPA) 組織内部者の不正行為によるインシデント調査 8
特定個人情報の安全管理措置 一部の安全管理措置はシステムでの対応が必要です 特に 取扱規程などに基づく運用 外部からの不正アクセス等の防止 のガイドラインは情報漏えい対策に有効な操作履歴の取得が含まれます 組織的安全管理措置 組織体制の整備 取扱規程等に基づく運用 取扱状況を確認する手段の整備 情報漏えい等事案に対応する体制の整備 取扱状況の把握及び安全管理措置の見直し 人的安全管理措置 事務取扱担当者の監督 事務取扱担当者の教育 物理的安全管理措置 技術的安全管理措置 特定個人情報等を取り扱う区域の管理 機器及び電子媒体等の盗難等の防止 電子媒体等を持ち出す場合の漏えい等の防止 個人番号の削除 機器及び電子媒体等の廃棄 アクセス制御 アクセス者の識別と認証 外部からの不正アクセス等の防止 情報漏えい等の防止 9
マイナンバーの情報漏えい対策の住み分け 人事 給与システムと情報漏えい対策ツールの役割 マイナンバーの情報漏えい対策は 守るべきデータが人事 給与システム内にある場合と 外にある場合の 2 つの観点で考える必要があります データ単体に対しての対策は 情報漏えい対策ツールでカバーする範囲になります 人事 給与システムでの対策 情報漏えい対策ツールでの対策 特定個人情報ファイル 人事 給与システム CSV データーーーーーーーーーー帳票データーーーーーーーーーー 10
マイナンバーの情報漏えい対策の住み分け 人事 給与システムと IT 資産管理ツールの役割 マイナンバーの情報漏えい対策は 守るべきデータが人事 給与システム内にある場合と 外にある場合の 2 つの観点で考える必要があります データ単体に対しての対策は 情報漏えい対策ツールでカバーする範囲になります 求められている要件 人事 給与システム IT 資産管理ツール 組織的安全管理措置取扱い規定等に基づく運用 アクセス制御 - 技術的安全管理措置 アクセス者の識別と認証 - 外部からの不正アクセス防止 - 情報漏えい等の防止 - 11
組織的安全管理措置 取扱規程などに基づく運用 でのシステム対応領域 個人番号の運用状況把握は ログの収集 が必要 組織的安全措置の 取扱規程などに基づく運用 では PC の操作履歴記録 外部デバイスの利用や持出し 業務システムのログイン実績の記録が明記されています 求められている要件 特定個人情報ファイルの利用 出力状況の記録 必要な機能 ファイルの利用や印刷などの操作ログ取得 媒体等の持出しの記録 CD/DVD や USB 等の接続とファイル書き出しのログ取得 特定個人情報ファイルの削除 廃棄記録 ファイル削除のログ取得 情報システムの利用状況 ( ログイン実績 アクセスログ等 ) 記録 基幹業務システムなどへの利用 ID 管理 アクセスログの取得機能 12
技術的安全管理措置 外部からの不正アクセス等の防止 でのシステム対応領域 適切なインフラの整備とログの分析も必要です 外部からの不正アクセス等の防止 では 機器の不正アクセス対策 ソフトウェアの状態把握と利用制限 定期的なログ分析が明記されています 求められている要件 不正アクセスの検知と遮断 必要な機能 持ち込み機器等のネットワーク接続の検知 遮断 不正ソフトウェアの有無の確認 インストールアプリケーション情報の自動取得 利用制限 ソフトウェア等を最新状態とする 業務システムやウイルス対策ソフト等のバージョン管理 定期的なログ分析 取得した SW 情報や不正アクセス PC 操作履歴から 課題を定期的に分析 13
マイナンバー対策としての LanScope Cat のご紹介
LanScope Catのコンセプト LanScope Catは 情報漏えい対策の課題を解決します PCの情報や操作ログを取得することで 現状のリスクを把握できます リスクへの適切な対策を打つことで 問題発生を未然に防ぎます 万が一問題が発生しても データの 流れをトレースし原因を特定できます 15
LanScope Catのシステム構成 16
組織的安全管理措置の対策 特定個人情報ファイルの利用 出力状況の記録 媒体等の持出しの記録 特定個人情報ファイルの削除 廃棄記録 情報システムの利用状況 ( ログイン実績 アクセスログ等 ) 記録
組織的安全管理措置 特定個人情報ファイルの利用 持ち出し 削除の記録 誰がどのPCをどのように使っているかが分かります 点けっぱなし を発見 内田さんが 夜勤している お昼休憩は みな1時間 18
組織的安全管理措置 特定個人情報ファイルの利用 持ち出し 削除の記録 防犯カメラの役割で効率を下げずにセキュリティ向上 内田さんが 個人番号データ を印刷 デスクトップ にコピーして 名前変更して USB持出し 2ちゃんねる YouTube 19
組織的安全管理措置 特定個人情報ファイルの利用 持ち出し 削除の記録 ファイル追跡機能で 万が一の際も原因を特定できます スマートフォン 20
組織的安全管理措置 特定個人情報ファイルの利用 持ち出し 削除の記録 USBやCDなどのデバイス利用を制御できます 各PCに対してスマートフォンはもちろん CD/DVD FD USB接続機器 などへの 読み書き禁止 書き込みのみ禁止 設定が個別に可能です さらに禁止 制限の状態の中から 例外的に許可するデバイスの設定が可 能なので 業務効率を落とすことなく適切な管理ができます 21
組織的安全管理措置 情報システムの利用状況 複数システムへのログイン履歴を一元管理できます 村井さんの PCで muraiの ユーザーで 会計システムに Murai_y でログイン ログイン時の入力内容を取得します 22
組織的安全管理措置 情報システムの利用状況 OBC PCA製品のログインID監査も動作検証確認済み メーカー名 株式会社オービック ビジネスコンサルタント ピー シー エー株式会社 23 パッケージ名 アプリID監査ログ取得 人事奉行i8 2.12 給与奉行i8 2.12 法定調書奉行i8 2.12 PCA給与X PCA人事管理X PCA給与X クラウド PCA人事管理X クラウド
導入事例 : システムへのログイン ID 管理 企業名株式会社ライフコーポレーション様設立 1910 年従業員数 20,969 名 (2014 年 2 月現在 ) 構成 Cat 4000CL Webアクセス 4000CL デバイス制御 4000CL ID 監査 4000CL メール管理 4000CL 導入効果 導入背景 社内で使用するシステムが年々増えていく中 社内セキュリティ対策を更に強化し各システムへのログイン状況 / 利用状況を徹底管理する必要性があった 導入効果 アプリケーション ID 監査機能で システムログイン情報を把握し不正操作 情報漏えいを防ぐ体制が確立できた 24
技術的安全管理措置の対策 不正アクセスの検知と遮断 不正ソフトウェアの有無の確認 ソフトウェア等を最新状態とする 定期的なログ分析
技術的安全管理措置 不正アクセスの検知と遮断 ネットワーク上の機器を検知し 不正接続を遮断します 許可したPC以外のネットワーク接続を検知 遮断し 私物の持ち込みPCな どからの情報漏えいやウイルス感染の危険を回避することができます 26
技術的安全管理措置 不正ソフトウェアの有無の確認 インストールアプリの確認と不正アプリを制御できます 為替トレードソフ トが入っている Winnyやゲームなどの業務外アプリを EXE単位で禁止し リアルタイムに管理 者にE-Mail通知できます Winny.exe 27
技術的安全管理措置 ソフトウェア等を最新状態とする 更新プログラムやアンチウィルスの更新状況を把握 更新プログラムが全 て適用されている 未適用更新プログラムなどを一斉配布し ソフトウェアを最新の状態にできます 28
技術的安全管理措置 定期的なログ分析 違反操作だけの定期的なチェックを簡単にできます セキュリティリスクをリアルタイムに可視化し 適切なセキュリティ監査 体制の構築が可能です 東京本部は 違反が多い 大阪本社は 違反なし 名古屋支店は 残業が多い アプリのインストールやPC環境変更 機密フォルダへのファイル操作 Winnyやゲーム等の禁止アプリの起動 USB スマホ等へのデータ書き込み 大量印刷や機密情報の印刷 業務時間外の早朝操作 アップロードや禁止Webの閲覧 業務時間外の深夜操作 29 アイコンの有無を Checkするだけなので 簡単に運用できる
マイナンバー制度における 情報漏えい対策も LanScope で 30