インテル セキュリティは、国内企業のビジネスパーソンを対象に実施した「マイナンバー制度への対応レベルに関する調査」の結果を発表した。同社が2015年6月上旬から提供している「マイナンバー セキュリティ診断」を通じて回答のあった約600件のデータを集計し、取りまとめたもの。以下は同社による調査結果の全文だ。
調査結果(抄)
- 組織・人的対策
組織体制の整備に関して、「マイナンバー取扱担当者を監督する体制が取られている」という設問に、対応済みまたは着手中と回答したのは、回答者全体の22.61%、また「システムのログまたは利用実績を記録する体制や、取扱状況を確認するための手段が整備されている」という設問に、対応済みまたは着手中と回答したのは、回答者全体の23.60%でした。
また、マイナンバーを取り扱う際の教育や社内情報共有体制に関して、「教育プログラムが整備されている」(17.99%)、「トレーニングが全従業員向けに計画されている」(19.80%)、「取扱い・運用ルールの評価、見直し及び改善に取り組むため、マイナンバーの取扱い状況を把握できる体制が整備されている」(19.80%)の設問に、対応済みまたは着手中と回答した割合が、いずれも20%を下回りました。
<総論>この結果、組織・人的対策の分野では、マイナンバーに関する社内組織体制や全社的な教育・トレーニングが大きく遅れている実態が明らかになりました。また、この分野での取り組みの進捗をポイント化し、インテル セキュリティの設定した一定基準のもと3段階(A-C、Aが最高)で評価した結果、全体のわずか10.56%のみがA評価(B評価31.19%、C評価:58.25%)でした。この結果は、企業の規模が小さくなるほど低い割合となっています。
- 物理的対策
マイナンバー情報が保存されたメディアの取り扱い方法に関して、「暗号化によるデータの保護が徹底されている」という設問に、対応済みまたは着手中と回答したのは32.18%と、全体の1/3を下回りました。
また、マイナンバー情報が保存・記載された機器や書類の管理に関して、「マイナンバーが記載された書類や、情報ファィルが記録された媒体の保管方法、施錠管理方法などが徹底されている」という設問に、対応済みまたは着手中と回答したのは26.73%でした。
<総論>この結果、物理的対策の分野では、データの暗号化やマイナンバー情報の含まれるメディアや書類の管理体制などの対策が遅れ、情報ライフサイクル全体での対策が徹底されていないことが明らかになりました。この分野での3段階評価の結果は、全体の16.83%がA評価(B評価33.66%、C評価:49.50%)となり、組織・人的対策よりも対策が進んでいるものの、引き続き十分な対策が取られている割合は低い結果となりました。
- 技術的対策
外部からの不正アクセス防止対策に関して、「ネットワーク経由での不正アクセスの検知・ブロック」(57.26%)、「(ファイアウォール等による)通信制御」(64.19%)に対応済みまたは着手中と回答した割合は比較的高い一方、「定期的なログの監査」まで実施・着手しているのは33.00%で、特に規模の小さな企業ほどその割合は低い結果になりました。
また、内部からの情報漏えい対策に関して、「内部からの不正なデータ送信の監視・ブロック」(34.49%)、「ログ管理/解析による内部情報漏えいの検知や事後分析」(34.82%)、「導入システム・ツールの機能による外部媒体への不正コピーの監視・ブロック」(29.04%)に対応済みまたは着手中と回答したのは、いずれも全体の1/3程度でした。
<総論>この結果、技術的対策の分野では、外部からの攻撃に対策は広く対応済みまたは着手中であるものの、内部からの情報漏えい防止対策がまだ不十分であることが明らかになりました。この分野での3段階評価の結果は、全体の19.64%がA評価(B評価38.28%、C評価:42.08%)となり、外部からの攻撃対策の導入などもありA評価の割合は他の分野よりも高い一方、内部からの情報漏えい防止対策の未整備が全体の評価を下げています。
同社は、今回の調査によりマイナンバーに向けて外部からの脅威に対する技術的対策には一定の進捗が見られる一方、同じ技術的対策でも内部からの情報漏えい防止に向けた取り組みや、マイナンバーを記録したメディアや書類の取り扱いに関する物理的な取り組みが大きく遅れているなど、セキュリティ対策の「サイロ化」の実態が明らかになったと分析。特に、組織・人的対策の分野では、従業員や部門を横断した教育やトレーニングの機会が企業規模を問わず不足しており、さらなる「サイロ化」に拍車をかけていると指摘する。
マイナンバー制度の開始は、組織のセキュリティ対策を見直し、さらに強化するための大きな契機になるが、今回の調査結果から、組織がその機会を十分に活用できていないと同社は述べる。「物理的対策や技術的対策だけでなく、教育や啓発などの人的・組織的な対策が不可欠で、情報の取得から管理、廃棄に至るまでの情報ライフサイクル全体を通じた、組織全体での取り組み、また将来的にマイナンバーの活用領域が拡大していくことが予定されているなか、組織内の担当者だけでなく、全従業員が当事者意識をもって情報管理体制の整備、順守を実践することが必要」と同社は結んでいる。