今年秋の「マイナンバー」で漏洩企業に罰則、経営者は今すぐ認識し対策を

今年（2015年）秋から「マイナンバー制度（社会保障と税の番号制度）」が施行されることに伴い、社員の番号を預かる企業がそれを漏洩させてしまった際に罰則規定が設けられていることはあまり知られていません。今回（第29回）は、今すぐにでも着手すべき対策にはどのようなことがあるのかを考えていきましょう。

10月になると国民全員に12桁の番号カードが届く

内閣官房によるマイナンバー制度の解説ページ

　日々、多くのセキュリティ担当者にお会いすると、挨拶のように「セキュリティ対策の改善や強化の必要性について、現場側はよく理解しているものの、経営陣はそれを理解してくれない」という溜息交じりの声が聞かれます。

　つまり、セキュリティ対策の必要性を喚起しても、その投資は生産性を生まない「コスト」として捉えられ、対策改善や強化が前に進まないという実態を嘆いているのです。

　ただ、今年（2015年）秋以降はそんな考えが通用しないことになりそうです。まだ認知度は極端に低いのですが、「マイナンバー制度（社会保障と税の番号制度）」が施行されるからです。

　10月になると、住民票を持つ国民一人ひとりに、12桁の番号が印字された「通知カード」が送られてきます。

10月になるとここを読んでいる人全員に通知カードが届く（内閣官房ページより）

　これは誰もが一生使う番号であり、来年（2016年）1月からは年金資格の確認や給付や確定申告書など、社会保障や税の分野で使用が始まります。

　年金や雇用保険、医療保険の手続きをはじめ、生活保護や児童手当の給付、確定申告などの税の手続といったシーンでマイナンバーの記載を求められることになっています。

　企業は、社員らの健康保険や厚生年金の加入手続を行ったり、従業員の給料から源泉徴収して税金を納めたりしています。そのため、企業は社員など関係者全員分のマイナンバーを管理することになります。

預かったマイナンバー漏洩で4年以下の懲役も

　企業にとって重要な点が「特定個人情報」（12桁の個人番号＝マイナンバーそのものと、マイナンバーに紐付けた氏名や従業員番号などの情報）が漏洩した際に、新たな罰則規定が設けられていることです。

　2001年に個人情報保護法が制定し、国内でもセキュリティ対策は一斉に強化されてきましたが、マイナンバー制度の施行に伴う特定個人情報の漏洩については、既存の個人情報保護とは次元の違う罰則となっています。

　たとえば、もっとも重い刑事罰は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。経営者は正面からこの点を検討しておかないと、特定個人情報の漏洩により、事業継続にも影響が出ることにもなりかねません。

　「セキュリティ対策は生産性を生まないコストだから」という言い訳が通用しないマイナンバー制度の施行が目前に迫っているのです。

マイナンバーを「悪のマーケティング」に利用

　罰則がどのような際に適用されるかについては、「正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供」「業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供し、または盗用」といったことが明示されていますが、現時点では詳細なガイドラインは公開されていません。

　そのうえで、特定個人情報（マイナンバー）を狙う犯罪者の心理や漏洩するロジック、そして今すぐにでも着手すべき対策を紹介してみます。

　まず犯罪者が虎視眈々と特定個人情報を狙う背景ですが、昨年発生したベネッセの情報漏洩事故でも知られるように、流出した我々国民の個人情報の多くは“マーケット”で売り買いされているという事実があります。

　仮に既に流出している情報と特定個人情報が紐づくと、その情報が一つの完成形となって、家族構成といった完全に個人を特定できるほどの質の高い情報になります。

　犯罪者はこれらの情報を活用してピンポイントで狙い撃ちして“オレオレ詐欺”を仕掛けるといったことも容易になります。

　いわゆる「悪のマーケティング活動」を仕掛ける上で、かなり精度の高い「仕掛け」が可能になるため、犯罪者は特定個人情報を虎視眈々と狙っているわけです。

特に内部犯行に注意しなければならない

　特定個人情報が漏洩するロジックは、本連載でも解説してきた「外部犯行」（端末をウイルス感染などさせ制御を奪い、不正アクセスなどを実行する犯行）もありますが、「内部犯行」（組織内の権限のある人間が意図的に情報をサーバなどから窃取する）による漏洩ケースの方の多いのではと推察しています。

　万が一、特定個人情報が漏洩してしまった場合、外部犯行や内部犯行に関わらず、過失がどこに（誰）にあるのかの事実を証明する必要が出てきます。それらの証明を踏まえ、捜査機関が最終的な判断を下します。

　では、特定個人情報をどのように守ればいいのでしょうか。もちろん、社内ポリシーの改定や組織の罰則規定などを強化することは言うまでもありませんが、漏洩自体を未然に防ぐことは限界があります。

規模の大小に関係なくあらゆる企業で対策は必須

　まず行うべきは、犯罪行為の事実を発見し、漏洩していない事を“証明”するという点です。発見する為にはモニタリングを行い、その対象はネットワークインフラで既に稼働している機器群の「ログ（記録）」になります。

　端末の操作ログなども重要ですが、それだけでは把握ができない外部犯行による漏洩なども考慮する必要があります。

　さらにそのログを踏まえ、漏洩の事実を時系列的にトレースし、捜査機関が理解して納得出来るレベルの証明が求められるでしょう。

　ここまで読むと、「外部犯行対策もままならないのに、内部犯行対策まで考慮する事は現実的に不可能ではないか」との声が聞こえてきそうですが、現状のセキュリティ対策の思考ではその通りです。

　特定個人情報の保護に関しては、経営陣が先導に立ち、外部犯行と内部犯行の対策を真剣に考えなければ、漏洩による罰則規定に抵触するリスクが高まります。特定個人情報保護に関しては、情報を取り扱うすべての企業や機関が該当するため、企業規模の大小は関係はありません。マイナンバーを預かるすべての組織が対策を講じることが求められます。

　一方で、内部犯行対策を強化することは、必然的に外部犯行（いわゆる標的型攻撃対策）にもきわめて有効に働きます。対策のプロセスさえ間違えなければ、抜本的な対策強化につながります。

　マイナンバー制度が始まろうとする今こそ、社内のセキュリティ対策を抜本的に考え直すチャンスだと言えるでしょう。