マイナンバーのセキュリティ対策 その①

国民全員には12桁、法人には13桁の番号が発行され、来年以降運用が開始されることになっているマイナンバー制度。今月からいよいよ通知が始まりました。

このマイナンバー行政の効率化、国民の利便性、公正・公平な社会が目的とされ、社会保障、税、災害対策の分野で利用される、となっていますが、正直なところなんだかよくわからない部分が多くありますよね。

とはいっても、我々民間の事業者も規模の大小にかかわらず、源泉徴収・社会保険など、何らかの対応が必ず必要になることは避けようがありません。

このマイナンバー制度には、積極的に賛成でなかった方々もいらっしゃるとは思いますが、もはやそうも言っていられません。
情報管理の責任があるということは、反した場合、罰もあるということです。
マイナンバーを扱う上での基本ルールは「他人/他者にむやみに提供してはならない」というものですが、マイナンバーは、個人情報の中でも利用制限が特に厳しく、なおかつ秘匿性の高い情報とされます。
もちろん、不正入手は許されず、他人(従業員)のマイナンバーを取り扱う者(企業・事業者)がマイナンバーが記録された個人情報を不当に他者に提供することも、現行の個人情報保護法以上に厳しい罰則の対象となるのです。

「マイナンバー利用事務等に従事する者が、正当な理由なく、特定個人情報を(他者に)提供」した場合「4年以下の懲役、または200万円以下の罰金またはその両方」となっており、これは個人情報保護法における同類の違反者に対する刑罰と比べて2倍重い・・・らしいです。

そう考えると、個人の場合の関心は自分の情報が漏れてしまった場合のリスク、になると思いますが、我々情報を取り扱う事業者の場合は、収集した個人情報をどのように管理するか?の意識がどうしても必要となります。

管理の方法としては、主に

① 紙(書類)での、保管・管理
② パソコンでの、保管・管理
③ 第三者への、管理業務委託

3つの方法となると思いますが、こちらでは、②のパソコンでの保管・管理についてのセキュリティについて考えてみたいと思います。

●UTMによるセキュリティ対策

UTM? 【Unified Threat Management】総合脅威管理の略で・・・云々、は置いときまして。
簡単に言います!
社内のパソコン達の大元に、箱(UTM)を置くことでネットワークを使った外部からの脅威に備えるための設備です。

ウイルス対策・侵入検知・防止を目的としており

カード番号が盗まれる。 
電子メールが盗み見られる。
機密情報や顧客情報などの重要データが漏えい。
Webページが改ざんされる。

など、主に様々なインターネット経由のトラブルに備えるものです。
社内のPCに保存されたマイナンバー情報は、紙に書いた情報と違い、不正にアクセスされた場合第三者に盗み見られる可能性があります。
マイナンバー管理に特化した商品ではありませんが、それも含めて対策が可能なのがこのUTMなのです。

マイナンバー制度ガイドラインは、「事業者は、特定個人情報等の適正な取り扱いのために次に掲げる技術的安全管理措置を講じなければならない」として、「情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護する仕組みを導入し適切に運用する」としています。

UTMは商品の特性上、この「保護する仕組み」に該当します。

語弊があると申し訳ないのですが、万が一トラブルがあった場合でも、企業側としては決して無対策であったのではなく、ガイドラインに沿った対策を講じていた、ということにもなり、実際の効用+アルファ「コストや運用管理の負担が少ない」という点からも中小規模の事業者中心にマイナンバー制度をきっかけとして、導入される事業所が増えています。

ということで、UTMの詳細については、次回も詳しくご紹介してゆきますのでお楽しみに。