ホーム > セキュリティートレンド > マイナンバー制度、対応準備できていますか?

マイナンバー制度対応 漏えい時には厳しい罰則規定も! 企業に求められる情報セキュリティー対策とは?

マイナンバー制度、対応準備できていますか?

富士ゼロックス マイナンバー相談センター
0120-126-369(通話料無料)
受付時間 9:00~12:00/13:00~17:00
(土・日・祝日および弊社指定休業日をのぞく)

Webでのお問い合わせ

待ったなしのマイナンバー制度。一刻も早い対応準備が必要!

税務署

2015年10月から配布開始が予定されているマイナンバー(個人番号)。日本に住民登録をしている全ての個人に対し、住民票をベースに各自治体から12ケタの番号として郵送で通知されるもので、2016年1月から、社会保障/税/災害対策といった各種行政手続きを行う際に必要となります(法人には法人番号が配布されます)。

このマイナンバー制度の運用開始を受けて、民間企業は、健康保険/雇用保険/年金などの処理を行う際、行政機関に提出を要する書面に従業員のマイナンバーを記載することや、税分野でも、税務署に提出する法定調書などに従業員や株主等のマイナンバーを記載することが求められるようになります。

そのため事業者は、従業員/家族/取引先からそれぞれのマイナンバーを申告してもらい、収集したマイナンバーが外部に漏れないよう厳重に管理するためのセキュリティー対策を講じることが義務となります。
2016年1月にはマイナンバー制度がスタートされますので、一刻でも早い対応準備が必要となります。

マイナンバーに対して企業に求められる4つの安全管理措置

講ずべき4つの安全管理措置

マイナンバー制度が施行されるに当たって、事業者は国の定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に則り、特定個人情報等の厳正な取扱い基本方針の策定や、個人番号取扱い事務と特定個人情報等の厳正な取扱いを確保するために、取扱規定等を策定しなければなりません。そして特定個人情報保護のため、全ての事業者は、 「組織的安全管理措置」「人的安全管理措置」「技術的安全管理措置」「物理的安全管理措置」という4つの安全管理措置を講じる必要があります。

これらは「組織・社内対応領域」「システム対応領域」に大別することができ、IT部門や、総務などの所属部署と兼務で情報セキュリティーをご担当されている方は、「技術的安全管理措置」「物理的安全管理措置」への対策が求められることになります。

マイナンバーには、一体どんな"社会的価値"があるのか?

それではなぜマイナンバーには、これほど厳重な情報セキュリティー対策が必要なのでしょうか。その理由として挙げられるのは、マイナンバーはサイバー攻撃者にとって非常に高い価値があり、さらに一旦外部に流出した場合には、その個人に甚大な被害をもたらすだけでなく、流出させてしまった企業に補償のための莫大なコスト損失と社会的信用の失墜をもたらすからです。

外部からの攻撃者は、個人情報の名寄せにマイナンバーを使う!

マイナンバーは犯罪者にとって価値の高い情報

近年のサイバー攻撃は、明確に金銭を目的としたものへと変わってきています。その際に攻撃者が狙うのは、我々がインターネットバンキングにアクセスする際のID/パスワードや電話番号、住所等の個人情報ですが、それだけでは個人を明確に特定することはできません。そこで個人を識別する番号であるマイナンバーが、闇市場に流通する様々な個人情報を名寄せするための"検索キー"として利用できるために狙われるのです。

名寄せされた個人情報は、当該人物の属性情報をより詳細に反映したものとなり、攻撃者にとっては"非常に高い価値"を持つものとなります。そこでマイナンバーは従来のどんな情報にも増して盗むべき情報として、位置付けられることになるのです。

内部からの情報漏えいにも配慮が必要

企業における情報漏えいの原因として、内部犯行による漏えいが全体の2割を占めるという調査報告があります。マイナンバーを狙うのは、外部のサイバー攻撃者だけではないということです。

自社の従業員を信じることは大切ですが、こと情報セキュリティー対策において性善説等の立場を採ることは、マイナンバーの漏えいリスクをより大きくしてしまう恐れがあります。外部からの攻撃だけでなく、社内からの情報漏えいにも、十分な配慮が必要です。

マイナンバー導入済みの米国では、数々の情報漏えい事件が発生!

マイナンバー導入済みの米国では、数々の情報漏えい事例が発生!

実際に日本のマイナンバー制度に相当する「社会保障番号」を1936年から導入済みの米国では、個人番号の漏えいにより数多くのトラブルが発生しています。

ある被害報告を挙げれば、Aさんがサマーキャンプの参加時に提供した社会保障番号がサイバー攻撃者の不正侵入によって盗まれ、気付かないところで、42の金融機関から借金を重ねられて、ひいては借金が150万ドルにも積み重ねられたという事例があります。この結果、Aさんは金融機関のブラックリストに載り、社会的信用を失うことになりました。

米国の連邦取引委員会からは、1170万件のなりすまし被害と毎年約5兆円の金銭的損害が報告されていますが、個人の被害については、上記のように金銭のケースだけでなくパスポート偽造や住民票移転・婚姻届提出が行われるなど多様な事件が発生しています。この時企業は、これら被害を受けた個人から訴えられるリスクが発生することも、十分理解しておく必要があります。

米国における主な社会保障番号漏えい事例 ※米国における主な社会保障番号漏えい事例

情報漏えいしてからでは遅い!罰則以外のリスクも考慮して事前対策を。

このようにマイナンバーは非常に高い社会的価値を持つため、マイナンバー法では、個人情報保護法より罰則の種類も多く法定刑も重くなっています。

例えば、正当な理由なく、業務で取り扱う特定個人情報ファイルを提供した場合には、4年以下の懲役または200万円以下の罰金が科せられ、過失による漏えいの場合でも、裁判所の判断に基づく民事責任が問われることになります。さらには故意/過失を問わず、情報漏えいが明らかになれば、自社の社会的責任は大きく失墜してしまいます。

また情報漏えいを起こしていなくても、第三者機関として設立された特定個人情報保護委員会により情報の管理体制に不適切な箇所を指摘された後、指示に従わない等の命令違反を犯した場合には、2年以下の懲役または50万円以下の罰金、報告を求められた際に虚偽や拒否または検査妨害を行った場合には、1年以下の懲役または50万円以下の罰金となり、企業には従来以上に厳しい罰則が科せられることになります。

ただし、ここで十分注意しておく必要があるのは、情報漏えいが起きた場合は罰則以外にも多大な影響を企業にもたらすということです。

情報漏えい時には原因や影響範囲を洗い出した後に迅速な対応が求められます。直接的被害としてあげられるのが、原因究明や関係各所への報告、再発防止策の実施です。これにより多大なコストと工数を余儀なくされる事は容易に想像できることだと思います。また、間接的被害としては、営業自粛や社会的信用低下による売上減があげられます。さらには、漏えいした情報の持ち主、または二次被害者からの訴訟による損害賠償が発生する可能性もあります。

これらのことから、企業はマイナンバーの取り扱いに際し、その重要性を十分に認識した上で、必要な対策を講じることが求められます。

マイナンバー漏えい時の様々なリスク

マイナンバーを保護するために、企業が講じるべき対策とは?

では実際にマイナンバーのセキュリティーを担保するために、企業はどのような対策を講じるべきなのでしょうか。

国が定めたガイドラインで求められている「システム対応領域」の対策ポイントは、「技術的安全管理措置」で6つ、「物理的安全管理措置」で6つ、計12のポイントに整理することができます。
これらは富士ゼロックスが提供する「マイナンバーあんしん管理ソリューション」で対策することができます。

マイナンバーあんしん管理ソリューション

■システム対応領域の12の対策ポイント

システム対応領域の12のポイント

マイナンバーあんしん管理ソリューション ― 技術的安全管理措置編 ―

マイナンバーあんぜん管理ソリューション技術的安全管理措置編

■ファイル受け渡しあんしんメニュー
社会保険労務士や支店など、インターネットを介してデーターの受け渡しを行う際、セキュリティーを確保する必要があります。通信経路を暗号化し安全にデータの受け渡しを行える「Working Folder」「beat VPNサービス」をおすすめします。

■インターネット脅威あんしんメニュー
外部からのサイバー攻撃や内部からのデータ流出を防ぐため、インターネットの出入り口のセキュリティー対策として「beatサービス」をおすすめします。
また、PCやサーバーなどの不正プログラムの検出・駆除を行う「オフィスあんしんセキュリティーサービス注記が有効です。
パッチマネジメントは、脆弱性の保護のために、Windows OSやブラウザーなど、各種ソフトウェアのセキュリティーパッチを常に最新バージョンに維持するための「自動更新設定」をおすすめします。

■アクセスまるごとあんしんメニュー
内部不正抑止としてファイル操作ログの取得やUSBポートの制御が必要です。ファイル操作ログについては富士ゼロックスが提供する「マイナンバー取得管理支援パッケージ」を導入することにより操作ログの記録が可能になり、USBポート制御については持ち込まれたUSBメモリーによるデータ窃取を防止する「モバイルあんしんマネジメントサービス」をおすすめします。
さらに「適切なアクセス権設定」により、マイナンバーを取り扱う担当者、責任者のみがマイナンバーを格納しているシステム/フォルダー/ファイルなどにアクセスできるようご支援いたします。

  • 注記Symantec Endpoint Protection Small Business Editionに、富士ゼロックスのサポートを組み合わせたサービス商品です。

PICK UP

「インターネット脅威あんしんメニュー」にご利用いただけるbeatのご紹介

特定個人情報の保護対策にはサイバー攻撃や内部からの情報流出の対策はかかせません。beatは以下の6つのセキュリティー機能(オプション含む)を搭載し、多層防御による強固なセキュリティーにて社内ネットワークを守ります。

「インターネット脅威あんしんメニュー」にご利用いただけるbeatのご紹介

  • 1 ファイアウォール

    beatのファイアウォールは、「完全遮蔽式」注1と呼ばれる方式で、外部からの不正アクセスを一切許可しません。他の方式のファイアウォールと比べて、極めて強力で安全な方式です。

  • 2 ゲートウェイ型アンチウイルス

    メールの送受信やWebアクセスなど、お客様ネットワークとインターネットの出入り口で、ウイルスチェックを行います。

  • 3 IPS(不正な通信対策機能)

    外部からの通信を遮断するファイアウォールに加え、内部から外部への通信も防御する必要があります。その対策としてbeat はIPS(不正な通信対策機能)を標準搭載しています。

  • 4 迷惑メール判定機能

    beatが危険なメールを自動で判定し、フィッシングサイト等に誘導されるリスクを減らします。

  • 5 コンテンツフィルター(オプション)

    有害なWebサイトや業務上必要のないWebサイトへのアクセスを制限します。

  • 6 beat PCクライアントアンチウイルスサービス(オプション)

    beat配下のクライアントPC用のアンチウイルスソフトウェアにより、ファイル・外部媒体(USBメモリー、DVDなど)のウイルスをチェックし、検出された場合にはそのウイルスを駆除いたします。

  • 注1entryサービスのファイアウォールは完全遮蔽式ではなく、beat-boxとルーターを接続するポートのみ開いています。

「ファイル受け渡しあんしんメニュー」にご利用いただけるbeatのご紹介

支店や工場で収集したマイナンバーの安全な受け渡しに必要なセキュアーな環境はbeat VPNサービスで実現できます。用途に合わせて様々なタイプをご用意しております。

障害が発生しても他拠点に影響がないVPN環境を手軽に実現したい。

障害が発生しても他拠点に影響がないVPN環境を手軽に実現したい。

メッシュ型インターネットVPNで解決!
本社のインターネット回線や機器に障害が発生しても他の拠点間の通信に影響しないネットワーク環境をつくることができます。

拠点ごとの状況に応じたネットワーク環境を実現したい

拠点ごとの状況に応じたネットワーク環境を実現したい

複合型インターネットVPNで解決!
多人数拠点と少人数拠点の混在環境でも、拠点に応じた最適なネットワーク環境をつくることができます。

beatに関するお問い合わせはこちらから

お問い合わせ

マイナンバーあんしん管理ソリューション ― 物理的安全管理措置編 ―

■取り扱いエリアあんしんメニュー
マイナンバーを取り扱う区域における入退室や区域管理、安全な保管場所の確保、放置プリントによる情報漏えい防止対策などをおすすめします。

■削除・廃棄あんしんメニュー
復元不可能な手段を用いた、紙書類の断裁やデータ消去をおすすめします。

■エリア外持ち出しあんしんメニュー
書類搬送時には漏えいリスクを低減するために施錠可能な搬送容器による運搬をおすすめします。また、データ持ち出し時にはデータ紛失・盗難時のリスクを低減するため、パスワード保護や暗号化処理をおすすめします。

マイナンバーあんぜん管理ソリューション物理的安全管理措置編

富士ゼロックスは、マイナンバーあんしん管理ソリューションによりワンストップでお客様をサポートいたします!

富士ゼロックスが考えるマイナンバー制度対応

本ページでは、主に企業が講じるべき安全管理措置についてご紹介させていただきましたが、富士ゼロックスでは内閣府が定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に沿って、実施すべき項目を5つの対応ポイントをわかりやすく整理いたしました。お客様の企業規模に応じて様々な形態のサービスをご用意しています。

富士ゼロックスが考えるマイナンバー制度対応はこちら

富士ゼロックス マイナンバー相談センター
0120-126-369(通話料無料)
受付時間 9:00~12:00/13:00~17:00
(土・日・祝日および弊社指定休業日をのぞく)

Webでのお問い合わせ