ESET/マルウェア情報局
マイナンバーの流出は損害賠償請求を受ける可能性がある
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたマイナンバーを安全に管理するための考え方を再編集したものです。
2015年10月よりスタートしたマイナンバー制度。いまや規模の大小に関係なく、どの企業でもマイナンバーを適切に管理することが求められている。企業は従業員などからマイナンバーを「収集」し、社会保障などの手続きに「活用」し、安全に「保管」しなければならない。
マイナンバーは重要な個人情報だけに厳格な管理が求められ、万が一漏えいさせた場合には損害賠償請求や刑事責任を追求されることすらある。それでは、マイナンバーを安全に管理するためのセキュリティ対策はどのように講じる必要があるのか。本記事では、マイナンバーを適切に管理するための安全管理措置について解説する。
マイナンバー制度の概要
マイナンバー制度は、これまでバラバラに管理されていた個人情報を政府が一元的に管理。国民一人ひとりにマイナンバーを付与し、社会保障や税負担の公正化を図る制度のことである。マイナンバーを付与することにより、行政事務の効率化や国民の利便性の向上を実現できるとしている。12桁のマイナンバーは、住民票を有する国民全員に2015年10月ごろから順次交付された。
マイナンバーは、将来的には医療や民間利用など活用分野の拡大が見込まれている。実際に、2019年10月の消費税増税に向け、マイナンバーカードを使ったポイント加算の検討も始まっており、久しぶりにマインバーに注目が集まったといえるだろう。
マイナンバー制度が社会保障手続きについて公正化・効率化を図る制度である以上、社会保障手続きに密接に関わる企業は、従業員などのマイナンバーを収集して税金・保険・年金の手続きに活用することが必要となる。マイナンバー制度の導入は、これまでになかったマイナンバーという極めて重要度の高い個人情報を収集・活用し、保管するという難しい対応が求められているのだ。
4つの安全管理措置
マイナンバーが極めて重要な個人情報であるという性質を持つ以上、企業は適切なセキュリティ対策を施し、厳格にマイナンバーを管理しなければならない。これを実現するために、国はマイナンバーを適切に管理するためのガイドライン「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を公開した。
本ガイドラインでは、企業が対策すべき安全管理措置として「基本方針の策定」「取扱規定の策定」が示された。従業員の数が100人以下の中小規模事業者であれば、こうした措置に関する一定の緩和策が明示されているものの、重要な個人情報を取り扱う以上、「基本方針の策定」「取扱規定の策定」は、すべての企業が取り組むべきであるといえるだろう。そのうえで、本ガイドラインでは、マイナンバーを適切に管理するために、より具体的な4つの安全管理措置を明記している。
1)組織的安全管理措置
企業として組織的なマイナンバー管理を実現するため、「組織体制の整備」について言及した安全管理措置だ。組織的安全管理措置は、まずはマイナンバーの取扱責任者、取扱担当者を決めることから始まる。原則的に両者以外はマイナンバーに触れることがないようにしなければならない。
そのうえで、マイナンバーを取り扱う業務を明確にすることが求められる。総務部門であれば社会保障のみ、経理部門であれば税関係のみ、といった具合になるだろう。取扱規程に基づき、マイナンバーに関する操作ログや利用実績の記録をとることも、組織的安全管理措置においては重要な要素となる。そして、万が一情報漏えいが発生した場合の体制についても、組織的な報告・連絡体制を整備することを要求している。
2)人的安全管理措置
人的安全管理措置とは、マイナンバー取扱責任者や取扱担当者が、取扱規定などに基づきマイナンバーを適切に取り扱っているかどうかを監督・確認するための安全管理措置のこと。マイナンバーの管理方法を経営会議で報告させたり、経営者が現場で目視確認したりすることなどが考えられる。なお、マイナンバーの取扱業務は、委託することが可能となっている。この場合に必要となるのが、委託先に対して必要かつ適切な監督をおこなうことだ。人的安全管理措置では、こうした委託先の管理監督義務についても規定している。
マイナンバー取扱責任者や取扱担当者の教育も重要な要素だ。マイナンバーを故意に漏えいさせた場合は、本人も刑事責任を負う可能性があることなど、業務において気をつけるべきことを教育する必要がある。
3)物理的安全管理措置
紙媒体やデジタルデータとして保管されるマイナンバーを安全に守るための措置が物理的安全管理措置だ。物理的安全管理措置として企業が取り組むべきセキュリティ対策は多岐にわたる
まずは、マイナンバーを取り扱う「区域」の管理が求められる。マイナンバーを取り扱う場所を「取扱区域」とし、マイナンバーを保管する場所は「管理区域」として明確に区別することで、情報漏えい対策を施さなければならない。
そのほかにも、マイナンバーデータが格納された電子媒体に対する盗難防止措置、不要となったマイナンバーの削除に関する措置についても規定されている。
4)技術的安全管理措置
マイナンバーをデジタルデータとしてパソコンなどの電子機器に格納する場合は、物理的安全管理措置に加え、技術的安全管理措置も講じなければならない。技術的安全管理措置とは、いわゆるアクセスコントロールのこと。マイナンバー取扱責任者や取扱担当者のみにアクセス権限を付与し、その他の従業員には閲覧権限を含めたすべての権限を付与してはならない。場合によっては、パスワード以上の認証強度を持つICカードや指紋による認証についても検討する必要があるだろう。そのほかにも、技術的安全管理措置では外部からの不正アクセスを防御するための措置についても規定している。
マイナンバー収集時に気をつけること
企業が収集する必要があるマイナンバーは、従業員本人だけではない。従業員の扶養家族や、報酬などの支払いが発生している依頼先(公演や執筆の依頼、家賃を払っている土地のオーナー)のマイナンバーも収集する必要がある。そしてマイナンバーは番号さえ収集すればよいのではない。マイナンバーを収集することに加え、身元確認が必要となるのだ。遠隔地のマイナンバー情報収集などが求められる場合、収集経路におけるセキュリティ確保にも目を向ける必要があるだろう。
身元確認をする方法はふたつある。ひとつ目はマイナンバーカードでの収集だ。マイナンバーを持つ本人が、予めマイナンバーカードを取得していれば、マイナンバーカード自体が本人確認手段として有効なことに加え、マイナンバーも記載されているため、本人確認と番号収集の両方が可能となる。
ふたつ目はマイナンバーの通知カードに加え、本人確認ができる情報の収集をすること。本人確認ができる情報としては、運転免許証やパスポートが認められている。マイナンバーカードは普及しているとはいえないため、現実的には後者の方法でマイナンバーを収集することになるだろう。
マイナンバー保管時に気をつけること
収集したマイナンバーは、安全管理措置に基づき適切に保管しなければならない。多くの企業で、マイナンバーは会計システムや給与計算システムに格納されるだろう。このため、こうしたシステムへのアクセス権限は、マイナンバー取扱責任者や取扱担当者のみに与えるよう設定しなければならない。
会計システムや給与計算システムが社内のサーバーで運用される場合は、サーバーは「管理区域」に設置され適切に管理する必要があるだろう。たとえシステム管理者であっても、マイナンバーにアクセスできないようにする必要がある。
近年では、クラウドサービスの普及でこうしたシステムもクラウド上で動作していることも多い。マイナンバーの保管についても委託が可能となっているため、マイナンバーをクラウド事業者が保有するデータセンター上で保管すること自体は問題がない。しかし、委託元である企業はクラウド事業者に対する監督義務がある。マインナンバーの取扱が適切になされているかどうか、管理・監督する必要があるといえるだろう。
ずさんなマイナンバー管理が招くこと
マイナンバー情報は極めて重要な個人情報となるため、ずさんなマイナンバー管理は深刻な事態を招きかねない。万が一漏えいした場合、損害賠償請求を受ける可能性があることは強く意識したいところだ。通常の個人情報の漏えいよりマイナンバーの漏えいが与える影響は大きく、損害賠償請求額が大きくなる可能性もある。さらに、マイナンバーの漏えいで求められるのは、損害賠償責任だけにとどまらない。刑事責任も問われかねない。
例えば、マイナンバーを取り扱う者が、正当な理由なくマイナンバーを第三者に提供した場合。4年以下の懲役若しくは200万円以下の罰金といった罰則が課される可能性がある。罰則は、マイナンバーを不正な利益を得る目的で提供等した場合、国からの是正命令に違反した場合に加え、正当な理由なくマイナンバーを第三者に提供したとき、不正な利益を得る目的でマイナンバーを提供、盗用したときといった場合なども対象となる。
まとめ
極めて重要度の高い個人情報であるマイナンバー。税金・保険・年金の手続きが必要となる以上、企業はマイナンバーを収集しなければならない。しかし、マイナンバーの適切な管理は決して簡単ではない。国が定めるガイドラインに基づき、厳格な管理が求められるのだ。
ガイドラインでは、「基本方針の策定」「取扱規定の策定」といった措置に加え、4つの安全管理措置が明示されている。こうしたガイドラインについての理解を深め、マイナンバーの管理運用を進めることが求められる。4つの安全管理措置を怠り、ずさんなマイナンバー管理を継続することは、事業の展開そのものが危ぶまれる事態を招くことになる可能性があるということを心に留めておくべきだろう。