いわゆるマイナンバー制度は、今年(平成27年)の10月から郵送され始め、来年(平成28年)1月からは本格的な運用が始まることになっている。マイナンバーに関してはすでに各方面で解説が行われているが、セキュリティ対策に関しては、あまり危惧する声は上がっていない。むしろセキュリティについては、あまり心配することはない、という論調の方が強いようである。
「盗みたい人」について考察する
マイナンバーについては、「盗みたい人」について考察することで、どの程度対策をすべきなのかを検討することが出来る。一方で罰則の大きさ、企業イメージ低下という方向からも考察するべきであろう。
マイナンバーという国民ひとりひとりにユニークな番号が与えられるのであるが、利便性やメリットはすでに多く語られている通りである。しかし、その利益は闇社会も享受することになる。例えば、振り込め詐欺などに代表される特殊詐欺の実行犯にとっては、喉から手が出るほど欲しい情報となる。
特殊詐欺の関係者達は、「既に」個人情報を潤沢に保有していると考えられる。そして、職員名簿や家族構成などを組み合わせて、詐欺に使うのである。このときに、複数のデータベースの同一人物の突き合わせが最も重要な要素になる。同姓同名でも同一人物とは限らないし、姓が違っても同一人物かもしれない。
マイナンバーが一緒に手に入れば、たちまち「名寄せ」が出来てしまうのだ。犯罪者がすでに保有していると思われるデータベースの利用価値が格段に向上すると考えられる。これまでつながっていなかったデータまでもが意味を持ってしまうことになる。より正確で広範囲な個人情報は詐欺には非常に有効であろう。
特殊詐欺に関わるような「盗みたい人」がマイナンバーを含む個人情報を狙うことを想定するならば、内部関係者による情報漏えいについて対策を行うべきであろう。日本人が主導で機密情報を盗み出そうとするならば、高度なサイバー攻撃よりも、内部関係者が直接、あるいは、手引きをして情報漏えいに加担することがもっとも可能性が高いだろう。これまでに報道されてきたような電話番号関連情報の不正入手なども内部犯行である。
内部関係者が付与されているアクセス権限でマイナンバーなどの個人情報にアクセスする場合、データベースが暗号化されていても、パソコンの画面には復号化された情報が表示されることになる。この画面を印刷もしくはスマホなどで撮影するだろう。あるいは、ファイルとしてUSBメモリーにコピーするだけでいいかもしれない。
これまでの個人情報よりも価値のあるマイナンバー付きの情報であれば、これまで以上に闇社会での「買い取り価格」は上昇すると推測されるので、これまで以上のモチベーションを持って内部関係者を誘惑したり脅迫したりすることも考えられる。つまり、これまでのセキュリティ対策よりも一段上の対策を施す必要が有る、ということである。
この記事は参考になりましたか?
- S&J三輪信雄のセキュリティ ニュースレター連載記事一覧
- この記事の著者
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
