マイナンバー開始前に必読!内部からの情報漏洩対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

マイナンバー開始前に必読!内部からの情報漏洩対策

2015/07/21


 来年1月から実施されるマイナンバー制度への準備は万端だろうか。マイナンバーが含まれた個人情報は「特定個人情報」として従来の個人情報保護法よりも厳しい情報管理が求められる。総務部門や人事部門、経営企画部門などが対応の中心となるとはいえ、IT部門は各関連部門と十分な連携をとりながら対応を支援する必要がある。また、とくに取得したマイナンバーの安全な保管、利用管理、適切なタイミングでの廃棄といった部分は、IT部門が主導したシステムづくりや運用法の確立が求められる。絶対漏洩してはいけない従業員、その家族、取引先、株主のマイナンバーを保護するために、今回は、特にセキュリティに注目したマイナンバー法などのポイントとIT部門の対応を考えてみよう。

マイナンバー

罰則が強化され、従来とは異なる保護対策が求められるマイナンバー

 今年10月以降、市町村から個人にマイナンバー(個人番号)の通知、国税局から法人番号の通知が行われる。それら番号は来年1月から、税金と社会保障(年金・雇用保険・健康保険その他)、災害対策に関わる当局への提出書類への記載が求められる。
 IT部門にとって重要なのは、マイナンバーは役所などへ提出する書類への記載以外には原則として一切利用してはならないという点だ。個人番号に紐づけられる情報はすべて「特定個人情報」と呼ばれ、個人番号が記入されたファイルはすべて「特定個人情報ファイル」とみなされる。特定個人情報、特定個人情報ファイルは、ともに目的外の利用が厳しく制限されている。例えばマイナンバーを社員番号がわりに使うことは論外、提出書類関連事務に必要な範囲以外では個人番号が記載されたファイルを作成してもいけない。もちろん、契約したマイナンバー取扱い委託先以外に漏洩することがあってはならない。
 個人情報保護法による「個人情報」の保護以上に厳格な管理が求められているわけで、その一端はマイナンバー法による罰則規程に見られる。

表1 マイナンバー制度で強化された罰則
表1 マイナンバー制度で強化された罰則
「マイナンバー概要資料」より
資料提供:内閣府

 表中の1〜3のような行為が行われるのを防ぐために、IT部門の役割は重要だ。内部の関係者によるマイナンバーの目的外利用、あるいは意図しようとしまいと外部への持ち出し/漏洩はあってはならない。マイナンバー法では「安全管理措置」として「特定個人情報等の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければならない」「従業者に特定個人情報等を取り扱わせるに当たっては、特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と記載されている。IT部門が中心的な役割を果たすのはこの安全管理措置の部分となろう。以下では、マイナンバー制度対応をどのようなスケジュールで行うか、IT部門としてどのような安全管理措置が可能かについて考えてみる。


1

マイナンバー収集のタイミングは11月!約1年かけてじっくりシステム化を

1-1

制度対応のタイムテーブル

 マイナンバー制度で求められているのは、基本的には「マイナンバーを収集すること」「安全に保管すること」「当局への提出書類に記載すること」の3つだけだ。ここでは特に「安全に保管すること」について考えてみたい。だがその前に、制度対応のタイムテーブルを確かめておこう。まず最も労力が必要と思われる従業員(パートやアルバイト、役員なども含む)についてのスケジュールだ(図1)。

図1 従業員のマイナンバー収集、利用のスケジュール
図1 従業員のマイナンバー収集、利用のスケジュール
資料提供:牛島総合法律事務所 影島広泰弁護士

セキュリティ情報局にご登録頂いた方限定で「マイナンバー開始前に必読!内部からの情報漏洩対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


マイナンバー/マイナンバー開始前に必読!内部からの情報漏洩対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「マイナンバー」関連情報をランダムに表示しています。

マイナンバー」関連の製品

PC操作記録 iDoperation SC 【エヌ・ティ・ティ・ソフトウェア】 個人情報検出・暗号化ソリューション 【ネスコ】 ネットワーク分離ソリューション 【アクシオ】
統合ログ管理 暗号化 その他ネットワークセキュリティ関連
サーバーやPCでの操作を録画して残せるPC操作記録ソフトウェア。管理サーバレスでの導入も可能で、初期コストを抑えつつ、より強固な情報漏洩対策を支援する。 マイナンバーや個人情報を検出する「P-Pointer」と、ハイレベルのセキュリティを実現するDRM製品「DataClasys」とを組み合わせたソリューション。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。

マイナンバー」関連の特集


「大掛かりなWebサイトを運営しているわけではないし……」という企業にも、アプリケーションの脆弱性や…



2016年7月から12月にご寄稿いただいたKey Conductors記事を対象に「記事閲覧数」「読…



製造業、卸売・小売業、サービス業という日本企業の代表的な3つの業種に焦点を当てて、ERPをより有効に…


マイナンバー」関連のセミナー

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 4月13日(木),4月26日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

データ消去ソフト ディスクシュレッダー5 製品紹介セミナー 【パーソナルメディア】  

開催日 4月13日(木),4月26日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー5」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

サイバーセキュリティ経営ガイドライン解説セミナー 【ISO審査登録機構】  

開催日 2月22日(水),3月29日(水),4月20日(木)   開催地 東京都   参加費 無料

マイナンバー制度が混乱しつつも始まった2015年末、小規模事業者を除く全ての企業が守るべきものとして一つのガイドラインが発表されました。 それが「サイバーセキュ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007894


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ