SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

法律・監査・セキュリティのプロが解説――マイナンバーのセキュリティリスクを改めて振り返る

 マイナンバーは、企業の情報セキュリティリスクをどれだけ高めるのでしょうか。そして、マイナンバーを漏えい・盗難から守るには何が必要とされるのでしょうか。法律とシステム監査、セキュリティのプロが解説します。(本記事は、弁護士法人エルティ総合法律事務所長 藤谷護人氏と、トレンドマイクロ株式会社 上級セキュリティエバンジェリスト 染谷征良氏の対談インタビューを元に編集しています。)

マイナンバー制度と安全管理措置について

 マイナンバー制度は、『行政手続における特定の個人を識別するための番号の利用等に関する法律』(通称:マイナンバー法)に基づく制度です。2016年1月の運用開始以降、国民の社会保障・税にかかわるあらゆる行政事務がすべてマイナンバーに紐づくかたちで遂行されるようになり、官公庁自治体は、「個人番号利用事務実施者」として、所定の事務手続にマイナンバーを用いていかなければなりません。対する民間事業者も、「個人番号関係事務実施者」として、「給与」や「預金利子」、「株式配当」、「借地料」、「講演/執筆料」など、個人への金銭的な支払いが発生する全取引でマイナンバーを扱っていくことになります。  

 本文内でも触れられているとおり、マイナンバーは、個人情報の中でもとりわけ利用制限の厳しい、秘匿性の高い情報です。そのため、民間事業者も、政府の特定個人情報保護委員会が策定し、2014年12月に(その正式版を)公表した『特定個人情報の適正な取扱いに関するガイドライン』と、そこに記されている「安全管理措置」に沿いながら、マイナンバー、あるいはマイナンバーを含む個人情報(これらは、「特定個人情報」と呼ばれる)を厳格に管理し、漏えい、滅失、毀損、不正使用のリスクから保護する義務を負います。  

 この安全管理措置は、マイナンバー法に則ったガイドラインであり、あらゆる民間事業者に対して、マイナンバーを取り扱う事務範囲や、マイナンバーを含むファイル(特定個人情報ファイル)の範囲、マイナンバーを扱う担当者(民間事業者の場合は、「個人番号関係事務実施者」)の範囲などを明確化し、それぞれのガバナンスを徹底していくことを求めています。

 また、人・組織の安全管理措置のほか、情報システムに適用すべき安全管理措置(「物理的安全管理措置」や「技術的安全管理措置」)として、データ暗号化やアクセス制御、アクセス者の識別・認証、不正アクセス防止、情報漏えい防止などの施策が掲げられています。法人組織は、こうしたガイドラインに基づいて、特定個人情報保護の基本方針や取り扱い規定を定めていくことが必要になります。  

 果たして、マイナンバーは、企業の情報セキュリティリスクをどれだけ高めるのでしょうか。そして、マイナンバーを漏えい・盗難から守るには何が必要とされるのでしょうか。法律とシステム監査、セキュリティのプロが解説します。

膨らむセキュリティリスク

 「社会保障・税番号(マイナンバー)」は、すべての国民を識別するための12桁の「個人番号」であり、社会保障・税にかかわるあらゆる行政手続きに用いられる情報です。2015年10月から日本の全国民に対する通知が始まり、2016年1月に「マイナンバー制度」の運用がいよいよ始まります。それに伴い、大きく懸念されているのが、法人組織のセキュリティリスクの増大です。  

 周知のとおり、マイナンバーを取り扱うのは、官公庁自治体だけではありません。あらゆる民間事業者が「個人番号関係事務実施者」として、従業員(とその扶養家族)、株主、個人の取引先、あるいは顧客などのマイナンバーを扱っていく必要があり、マイナンバーと、マイナンバーを含む「特定個人情報」を厳格に管理し、漏えい、滅失、毀損、不正使用などのリスクから守る義務を背負うことになります(図1 参照)。  

図1:民間事業者におけるマイナンバーの流れ[クリックすると図が拡大します]

 マイナンバーを取り扱う民間事業者の責務は重大です。弁護士であり公認システム監査人でもある藤谷 護人氏は次のように指摘しています。  

「例えば『株主のマイナンバーが流出したら』と考えただけでも、マイナンバーがいかに重要な情報かが容易に推し量れます。自社でマイナンバーを取り扱う場合には、当然自己責任となりますが、人事業務や株式事務を外部に委託している場合にも監督責任が発生します。その中で、万が一マイナンバーを漏えいさせた場合、致命的なダメージを被りかねません」

次のページ
マイナンバーで高まる個人情報の絶対価値

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」連載記事一覧

もっと読む

この記事の著者

トレンドマイクロ株式会社(トレンドマイクロ)

企業のCISO/CIO向けに、最新のセキュリティ動向と対策に関する情報やヒントをお届けする「トレンドマイクロ出張版」です。トレンドマイクロ:http://www.trendmicro.co.jp/jp/index.html

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7339 2015/11/10 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング