マイナンバー制度と安全管理措置について
マイナンバー制度は、『行政手続における特定の個人を識別するための番号の利用等に関する法律』(通称:マイナンバー法)に基づく制度です。2016年1月の運用開始以降、国民の社会保障・税にかかわるあらゆる行政事務がすべてマイナンバーに紐づくかたちで遂行されるようになり、官公庁自治体は、「個人番号利用事務実施者」として、所定の事務手続にマイナンバーを用いていかなければなりません。対する民間事業者も、「個人番号関係事務実施者」として、「給与」や「預金利子」、「株式配当」、「借地料」、「講演/執筆料」など、個人への金銭的な支払いが発生する全取引でマイナンバーを扱っていくことになります。
本文内でも触れられているとおり、マイナンバーは、個人情報の中でもとりわけ利用制限の厳しい、秘匿性の高い情報です。そのため、民間事業者も、政府の特定個人情報保護委員会が策定し、2014年12月に(その正式版を)公表した『特定個人情報の適正な取扱いに関するガイドライン』と、そこに記されている「安全管理措置」に沿いながら、マイナンバー、あるいはマイナンバーを含む個人情報(これらは、「特定個人情報」と呼ばれる)を厳格に管理し、漏えい、滅失、毀損、不正使用のリスクから保護する義務を負います。
この安全管理措置は、マイナンバー法に則ったガイドラインであり、あらゆる民間事業者に対して、マイナンバーを取り扱う事務範囲や、マイナンバーを含むファイル(特定個人情報ファイル)の範囲、マイナンバーを扱う担当者(民間事業者の場合は、「個人番号関係事務実施者」)の範囲などを明確化し、それぞれのガバナンスを徹底していくことを求めています。
また、人・組織の安全管理措置のほか、情報システムに適用すべき安全管理措置(「物理的安全管理措置」や「技術的安全管理措置」)として、データ暗号化やアクセス制御、アクセス者の識別・認証、不正アクセス防止、情報漏えい防止などの施策が掲げられています。法人組織は、こうしたガイドラインに基づいて、特定個人情報保護の基本方針や取り扱い規定を定めていくことが必要になります。
果たして、マイナンバーは、企業の情報セキュリティリスクをどれだけ高めるのでしょうか。そして、マイナンバーを漏えい・盗難から守るには何が必要とされるのでしょうか。法律とシステム監査、セキュリティのプロが解説します。
膨らむセキュリティリスク
「社会保障・税番号(マイナンバー)」は、すべての国民を識別するための12桁の「個人番号」であり、社会保障・税にかかわるあらゆる行政手続きに用いられる情報です。2015年10月から日本の全国民に対する通知が始まり、2016年1月に「マイナンバー制度」の運用がいよいよ始まります。それに伴い、大きく懸念されているのが、法人組織のセキュリティリスクの増大です。
周知のとおり、マイナンバーを取り扱うのは、官公庁自治体だけではありません。あらゆる民間事業者が「個人番号関係事務実施者」として、従業員(とその扶養家族)、株主、個人の取引先、あるいは顧客などのマイナンバーを扱っていく必要があり、マイナンバーと、マイナンバーを含む「特定個人情報」を厳格に管理し、漏えい、滅失、毀損、不正使用などのリスクから守る義務を背負うことになります(図1 参照)。
マイナンバーを取り扱う民間事業者の責務は重大です。弁護士であり公認システム監査人でもある藤谷 護人氏は次のように指摘しています。
「例えば『株主のマイナンバーが流出したら』と考えただけでも、マイナンバーがいかに重要な情報かが容易に推し量れます。自社でマイナンバーを取り扱う場合には、当然自己責任となりますが、人事業務や株式事務を外部に委託している場合にも監督責任が発生します。その中で、万が一マイナンバーを漏えいさせた場合、致命的なダメージを被りかねません」
