2015年10月、つまり、来月から、マイナンバーの通知が始まります。そして、2016年1月からマイナンバーの運用が本格的に始まります。それまでに、自社内のどの業務で、どのようにマイナンバーを扱うかという方針やプロセス、担当者を決めておかなくてはなりません。
マイナンバー導入に向けた企業の現状を理解するために、インテル セキュリティは、2015年9月25「日に、国内企業のビジネスパーソンを対象に実施した「マイナンバー制度への対応レベルに関する調査」の結果を発表しました。
この調査は、インテル セキュリティが2015年6月上旬から提供している、ウェブ上で簡単にマイナンバー制度に向けたセキュリティ対策の準備状況を診断できるツール「マイナンバー セキュリティ診断」を通じて回答のあった約600件のデータを集計し、取りまとめたものです。
では、本調査から見えてきた企業の対策の進捗は、どうなっているでしょうか?
インテル セキュリティが設定した一定基準のもと5段階(A-E、Aが最高)でマイナンバーに向けた取り組み全体の進捗を評価した結果、A評価を獲得したのは、全体のわずか5.12%でした。特に小規模企業(~249名)では、その割合はさらに低く、3.29%のみにとどまっています。一方で、マイナンバーに対する取り組みが非常に遅れていると評価された割合(D・E評価の割合)は、回答者全体で66.33%、特に小規模企業(~249名)では、75.33%にも上っています。
つまり、2/3の企業、特に小規模企業の3/4で、非常に取り組みが遅れているとう現状が見えてきます。
具体的な課題はいかがでしょうか? 本調査では、大きく2つの課題を取り上げています。
企業規模を問わず、マイナンバー制度に関する教育やトレーニングが不足
企業の取り組み状況のなかでも、特にマイナンバー制度に関する教育やトレーニングの不足が顕著であることが明らかになっています。
マイナンバーを取り扱う際の教育や社内情報共有の仕組みに関して、「社内教育」、「全従業員向けの社内トレーニング」、「マイナンバー取り扱い状況把握のための体制」の整備・計画について、対応済みまたは着手中と答えた回答者は、いずれも全体の20%以下となっています。
企業の規模が小さくなるほどこの割合は低くなっていますが、従業員5,000人以上の大規模企業であっても、その割合はわずか30%前後にとどまっています。
つまり、企業の組織・人的対策が大きく遅れていることを表しており、経理や総務だけでなく、営業担当者も顧客や取引先のマイナンバーを取り扱うことから、私たちは、全部門的な取り組みやリテラシーの強化が急務であると考えます。
外部からの脅威対策に比べ、内部からの情報漏えい対策が不十分
不正アクセス対策やファイアウォールによる通信制御など、外部からの脅威への対策に比べ、暗号化によるデータ保護や内部からの不正なデータ送信の監視など、内部からの情報流出への対策については、対策済みまたは着手中であると回答したのは、いずれも全体の約1/3程度でした。
セイバーセキュリティ対策というと、外部からの攻撃に注目しがちですが、内部からの情報漏えいに対しても十分に対策を取るべきだと考えます。
結論:情報ライフサイクル全体を通じた組織全体での取り組みの必要性
今回の調査結果から、マイナンバー情報を記録したメディアや書類の取り扱いに関する物理的対策や、外部/内部からの脅威に対するITによる技術的対策だけでなく、マイナンバーなどの重要情報の管理には、教育や啓発などの人的・組織的な対策が不可欠です。そのため、情報の取得から管理、廃棄に至るまでの情報ライフサイクル全体を通じた組織全体での取り組みが必要であると考えています。
2018年からは個人の預金口座などへのマイナンバーの適用拡大も予定されています。マイナンバーや関連情報の管理・運用には、行政機関のガイドラインに定められた安全管理措置の実施が求められており、情報を漏えいした場合には、法律で定められた罰則や、信用の低下、高額な損害賠償などのリスクも想定されます。
先日、消費税還付策として、マイナンバーの利用が検討されているニュースが流れました。このときメディアでは、マイナンバーとはどういったものであるかという解説をしていたところも多くありました。つまり、必ずしも、みなさんが十分に理解できているといった状況ではないということでしょう。まずはしっかりとしたマイナンバー制度に対する理解が必要です。
理解の第一歩として、以前、本ブログで紹介したマイナンバーについての投稿を参照してください。
・最近よく耳にする「マイナンバー」とは?(前編)
・マイナンバー対応は情報漏えい対策見直しのチャンス (後編)
・【マイナンバー特集(前編)】内部犯行対策を徹底しよう〜まずはポリシー作りから
・【マイナンバー特集(後編)】内部犯行対策を徹底しよう〜念には念を、多角的な取り組みのススメ
次に、どのような対策が求められるかという理解のために、「マイナンバーセキュリティ診断」をご活用ください。ウェブ上で簡単にマイナンバー向けセキュリティ対策レベルを確認できます(全11問)。
さらに、具体的な対策として、インテル セキュリティでは、マイナンバー制度開始に伴うセキュリティリスクや、地方公共団体・民間企業向けにインテル セキュリティが提供するマイナンバー向け総合セキュリティ対応ソリューションの詳細をご紹介しています。
詳細は >> こちら
インテル セキュリティ主催のFOCUS JAPAN 2015でもマイナンバー関連セッションと展示を実施します。
◆マイナンバー関連セッション
<C-3> AWSクラウド活用時のセキュリティ対策
<E-3> マイナンバー対応、セキュリティ視点で考える企業や取扱い事業者に必要な対策
詳細は >> こちら
残された時間は、それほど長くはありません。企業や組織において、しっかりとした対応が求められています。
■関連サイト
・McAfee Blogのエントリー
・マカフィー
