マイナンバー開始前に必読!内部からの情報漏洩対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

マイナンバー開始前に必読!内部からの情報漏洩対策

2015/07/21


 来年1月から実施されるマイナンバー制度への準備は万端だろうか。マイナンバーが含まれた個人情報は「特定個人情報」として従来の個人情報保護法よりも厳しい情報管理が求められる。総務部門や人事部門、経営企画部門などが対応の中心となるとはいえ、IT部門は各関連部門と十分な連携をとりながら対応を支援する必要がある。また、とくに取得したマイナンバーの安全な保管、利用管理、適切なタイミングでの廃棄といった部分は、IT部門が主導したシステムづくりや運用法の確立が求められる。絶対漏洩してはいけない従業員、その家族、取引先、株主のマイナンバーを保護するために、今回は、特にセキュリティに注目したマイナンバー法などのポイントとIT部門の対応を考えてみよう。

マイナンバー

罰則が強化され、従来とは異なる保護対策が求められるマイナンバー

 今年10月以降、市町村から個人にマイナンバー(個人番号)の通知、国税局から法人番号の通知が行われる。それら番号は来年1月から、税金と社会保障(年金・雇用保険・健康保険その他)、災害対策に関わる当局への提出書類への記載が求められる。
 IT部門にとって重要なのは、マイナンバーは役所などへ提出する書類への記載以外には原則として一切利用してはならないという点だ。個人番号に紐づけられる情報はすべて「特定個人情報」と呼ばれ、個人番号が記入されたファイルはすべて「特定個人情報ファイル」とみなされる。特定個人情報、特定個人情報ファイルは、ともに目的外の利用が厳しく制限されている。例えばマイナンバーを社員番号がわりに使うことは論外、提出書類関連事務に必要な範囲以外では個人番号が記載されたファイルを作成してもいけない。もちろん、契約したマイナンバー取扱い委託先以外に漏洩することがあってはならない。
 個人情報保護法による「個人情報」の保護以上に厳格な管理が求められているわけで、その一端はマイナンバー法による罰則規程に見られる。

表1 マイナンバー制度で強化された罰則
表1 マイナンバー制度で強化された罰則
「マイナンバー概要資料」より
資料提供:内閣府

 表中の1〜3のような行為が行われるのを防ぐために、IT部門の役割は重要だ。内部の関係者によるマイナンバーの目的外利用、あるいは意図しようとしまいと外部への持ち出し/漏洩はあってはならない。マイナンバー法では「安全管理措置」として「特定個人情報等の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければならない」「従業者に特定個人情報等を取り扱わせるに当たっては、特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と記載されている。IT部門が中心的な役割を果たすのはこの安全管理措置の部分となろう。以下では、マイナンバー制度対応をどのようなスケジュールで行うか、IT部門としてどのような安全管理措置が可能かについて考えてみる。


1

マイナンバー収集のタイミングは11月!約1年かけてじっくりシステム化を

1-1

制度対応のタイムテーブル

 マイナンバー制度で求められているのは、基本的には「マイナンバーを収集すること」「安全に保管すること」「当局への提出書類に記載すること」の3つだけだ。ここでは特に「安全に保管すること」について考えてみたい。だがその前に、制度対応のタイムテーブルを確かめておこう。まず最も労力が必要と思われる従業員(パートやアルバイト、役員なども含む)についてのスケジュールだ(図1)。

図1 従業員のマイナンバー収集、利用のスケジュール
図1 従業員のマイナンバー収集、利用のスケジュール
資料提供:牛島総合法律事務所 影島広泰弁護士

セキュリティ情報局にご登録頂いた方限定で「マイナンバー開始前に必読!内部からの情報漏洩対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


マイナンバー/マイナンバー開始前に必読!内部からの情報漏洩対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「マイナンバー」関連情報をランダムに表示しています。

マイナンバー」関連の製品

VDIとインターネット分離と標的型攻撃対策の関係 【日立製作所】 ネットワーク分離ソリューション 【アクシオ】 ActSecureクラウドメールセキュリティサービス 【NEC】
VDI その他ネットワークセキュリティ関連 メールセキュリティ
自治体や金融業界などのセキュリティ対策として、重要情報を扱う業務系とそれ以外を分離する“インターネット分離”が注目を集める。本稿では導入の課題と対策を考える。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 標的型メール攻撃対策やメール誤送信対策、事後調査や監査対応などに有効なメールアーカイブ機能などのセキュリティ対策をクラウド(SaaS型)で提供。最短7日で導入可能。

マイナンバー」関連の特集


2015年度は導入社数ベースで1170社、金額ベースで760億円と見込まれた当市場。導入社数、金額の…



2013年5月に成立した通称マイナンバー法。企業にどんな影響があるのか、その基礎知識とともにその対応…



2015年は前年比1.2%増の73万7000台だったレーザーMFP市場。カラーレーザーMFPは増加す…


マイナンバー」関連のセミナー

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 11月29日(水),12月6日(水),12月20日(水),1月17日(水),1月31日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

データ消去ソフト ディスクシュレッダー6 製品紹介セミナー 【パーソナルメディア】  

開催日 11月29日(水),12月6日(水),12月20日(水),1月17日(水),1月31日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー6」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 1月24日(水),2月15日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007894


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ