2015.05.19 マイナンバー

【マイナンバー】マイナンバーの導入で個人情報の漏洩リスクが激増!? セキュリティ対策を万全に!

7
  • このエントリーをはてなブックマークに追加

2016年1月から「マイナンバー制度」が開始、マイナンバーはとても大事な個人情報!

2015年3月から、内閣府のテレビCMが頻繁に放映されていることもあり、「マイナンバー制度」という言葉自体の認知度は上がっているものの、その肝心の中身についてはまだまだ知らないという方も多いようです。

「そもそもマイナンバー制度って何なのか。いったいわたしたちは何をすればいいのか」といった疑問の声が多く聞かれます。

さらに、先日発覚した年金機構による個人情報の漏洩事件をきっかけに、私たち国民の個人情報保護に関する意識も高まっています。

このまま予定通りマイナンバー制度が開始された場合、わたしたちの個人情報は今よりも流出しやすくなり、年金情報などが第三者に奪われるリスクが高まるのではないか、そういった懸念が国民の間に広まっているのも確かです。

さらには「どうしたって個人番号は漏れてしまう」などと、半ばあきらめ気味にささやかれてもいます。

マイナンバーをどう扱い、何に気をつけるべきなのかをしっかりと把握しておくために、今回はマイナンバー制度と情報漏洩の問題、マイナンバー制度のセキュリティ対策に関して詳しく調べてみたいと思います。

 

マイナンバー(個人番号)は国民1人1人の「共通番号」

マイナンバーとは、国民一人ひとりが持つ12桁の番号で、「国民の利便性の向上」、「行政の効率化」、「公平・公正な社会の実現」を目的として、税・社会保障・災害対策の分野で活用されることとされています。

この制度は、各種証明書が1カ所で受け取れる、各個人の所得が正確に把握できる、保険給付などが真に必要な方に届けられるなど、住民情報を今まで以上に正確に、そして、効率的に活用することにより、行政事務をさらに効率化し国民の公平・公正な社会を実現する事を目的としています。

個人識別のための12桁の番号(個人番号)が個人1人に1つ、法人識別のための13桁の番号(法人番号)が1法人に1つ割り振られます。

割り振られる番号は完全にランダムなものとなっています。住んでいる地域であったり職業であったりで区分されてはおらず、規則性のない数字になっています。

したがって、同一世帯の家族間でも隣り合う番号にはなりません、また、近所に住んでいる人であっても近い番号になるということもありません。

つまり、家族であってもマイナンバーの番号を類推することはできず、逆に言えば、番号から出身地や居住地、生まれた年代などを推測することも不可能です。

もし、人が亡くなった場合や法人が閉鎖した場合には、同じ番号は再利用されず、いわば永久欠番となります。

そして、本人以外の勝手な利用の禁止を法律で厳格に定められており、それに対して厳しい罰則もあります。

このように、マイナンバーは1人に1つの番号で基本的に生涯変更されることはありません。

結婚しても、転職しても、引っ越しても番号に変更はありません。

変わるのは番号情報の漏洩があった時だけですから、通常、特にそういった事故がなければ一生使う番号になります。

 

「通知カード」と「個人番号カード」のちがいを理解しよう

「通知カード」とは

2015年10月以降、住民票の住所地の区市町村より、マイナンバーに関する書類が世帯ごとに簡易書留で郵送されます。

tuuticard1 tuuticard2

住民票のある住所に送付される書類で、わたしたちは自分のマイナンバー(個人番号)を確認することができます。

その際、送付されるのは「通知カード」と呼ばれる紙のカードで、氏名・生年月日・住所といった個人情報と一緒にマイナンバー(個人番号)が記載されています。

ただし、カードには文字情報だけが記されており、顔写真などはついていません。

 

「個人番号カード」とは

それとは別に「個人番号カード」というものがあります。

こちらはICチップが搭載されたカードで顔写真も付きます。

mynumbercard_omote mynumbercard_ura

個人番号カードは自動的に送付されてくるものではなく、役所で申請することで取得することができます。

「後で写真付きのが発行されるから、紙のカードはいらない」などと勘違いして捨ててしまわずに、通知カードは大切に保管しておきましょう。

個人番号カードは顔写真の有効性などのため、有効期限が決められています。

 

共通番号制度「マイナンバー」の実際の使い道は?

まず、2016年以降の「社会保障・災害対策・税」の3分野での利用からスタートします。

身近な例としては、今後、各種税務申告書・申請書などの税務関係の手続をする際に、該当書類にマイナンバー(個人番号)や法人番号を記載することになります。

他にも、健康保険や年金の加入・脱退などの社会保障手続などにもマイナンバーの提示が求められます。

そういった、各種の行政窓口において手続を行う場合、マイナンバーの確認と本人確認とを求められますが、個人番号カードには顔写真が付いているので、この個人番号カードのみで本人確認も完了することができます。

また、会社にお勤めの方はご自身と扶養家族のマイナンバーを会社に提示することになります。

収集した会社の側では、その番号の管理を厳格に取り扱うことが求められています。

会社は市町村・年金事務所・健康保険組合・税務署・ハローワークでの業務を簡素化させるために、従業員や取引先などのマイナンバーをそれらの機関に提供します。

これらの従業員や従業員の扶養家族が提出したマイナンバーによって、従業員が会社に提出するべき各種届出書類の数を減らすことで、法人の事務処理の簡素化も進められることになります。

 

法人には独自の「法人番号」が割り当てられる

企業などの法人も13桁の「法人番号」が国税庁から通知されます。

ちなみに、この法人番号は「マイナンバー」という表現はしないので注意が必要です。

法人番号は個人番号とは異なり、国税庁の専用サイトで公表されることから、誰でも自由に利用でき利用制限もありません。

取引先との契約や取引先との報酬のやり取りをする場合、税務署に提出する支払調書に、取引先から提供された法人番号を使って書類を作成し提出することで、会社・行政双方の事務の簡素化が進められることになります。

このように、マイナンバー制度によって個人や法人が自分の番号を提供することで、行政機関の業務が軽減されるため、個人も法人も事務手続が楽になることがマイナンバー制度の主なねらいです。

 

マイナンバーが漏洩するタイミングはこれ!安全に使うには?

マイナンバー自体はカードの裏に記載されており、この裏側のコピーを取ったり番号を控えたりすることは法律で禁じられています。

日常生活においては、カードの提示を求められるをケースは

  1. 各役所で「社会保障・災害対策・税」の手続きをする際に、提出書類にマイナンバーを記載
  2. 会社勤めをしている人は、税の申告などに用いるために会社にマイナンバーを提示
  3. 証券会社や銀行の金融機関に対して、所得税等の申告をするためにマイナンバーを提示
  4. 個人事業主や自営業者が、企業との取引時に自分のマイナンバーを取引先に提供
  5. 写真付きの「個人番号カード」を身分証明書として利用

といったところでしょうか。

法人は13桁の法人番号が交付されますが、個人事業主等は法人ではないので個人のマイナンバーを取引に使わなければいけません。

また、民間のレンタルショップなどで各種会員証をつくる時の身分証明書として、個人番号カードを利用することが可能となります。

ただ、その際には顔写真や住所の記載された表側だけを提示すればよいこととなっています。

以上にあげた5つのケースは、マイナンバーが漏れる可能性のある事例の代表的でもあります。

このような日常の何気ないところから、相手方・第三者に自分のマイナンバーが漏洩してしまうのです。

 

わたしたちの大事な個人情報「マイナンバー」を漏洩から守るために

実際にマイナンバーを利用するとき、注意すべき点は以下の4つです。

【1】マイナンバーという情報の管理を自らしっかりと行う

  • 法律上、家族であっても勝手に利用はできないため、家のどこに保管するかなど、家族内での管理の方法をしっかりと話し合う必要があるでしょう。

【2】何に使うか、目的をしっかりと明示する

  • 会社に源泉徴収票の交付などでマイナンバーを提出する際に、明確に「税申告のために収集します」と言われた場合は、その目的のためにマイナンバーを提出しなければなりません。
  • 例えば「マイナンバーが必要になるらしいので」などと用途を曖昧に言われた場合には、マイナンバーを教えるべきではありません。

【3】ある目的で取集したマイナンバーを別の申請などに転用してはならない

  • 例えば会社が個人番号の収集・保管・廃棄などの取り扱うにあたっては、会社内でのしっかりとした管理、運用することを義務付けられています。

【4】マイナンバーを収集する際には「本人確認」が必要

  • 会社の従業員も、扶養している配偶者や子の本人確認を自分で行い、その番号を自分の番号とセットにして会社に提供する必要があります。
  • 現実的には、同居している妻や子の本人確認をあらためてする必要などないでしょうが、一応本人とマイナンバーの紐付けを責任を持って行う必要があります。

自分や家族のマイナンバーが漏洩してしまうと、想像以上に大きな個人情報の流出に繋がりかねません。

安全に使うためにも、まずはマイナンバー制度を正しく理解し、「自分のマイナンバーは漏らさせない」という意識を強く持つようにしましょう。

 

次第に高まる「マイナンバー制度」の安全性への懸念

2015年、年金機構の職員がウィルス付きメールのリンクをクリックしたことによって、パソコンがウイルスに感染しました。

年金機構はすぐに感染したパソコンの通信を遮断するとともに、セキュリティ会社に調査を依頼しましたが、一時的に年金データをファイル共有サーバーに移して作業をしていたため、そのパソコンからアクセスした共有サーバー上の個人情報の一部が流出する事態となってしまいました。

そもそも、年金のデータは独立したシステムに保存されており、ネットワークからは物理的に遮断されています。

しかしながら、上記のように一部データを共有サーバーに移して作業をしていたため、個人情報約125万件(約100万人分)にも上る情報が流出してしまったと発表されています。

この年金機構の個人情報漏洩事件を受けて、わたしたち国民の間で個人情報保護に関する懸念が高まっています。

それでは、わたしたち国民が実際に抱く懸念とは具体的にはどのようなものなのでしょうか。

政府が発表した番号制度大綱においては、下の3つに整理されています。

【1】 国家管理への懸念

  • 国家により個人の様々な個人情報が「番号」をキーに名寄せ・突合されて一元管理されるのではないかといった懸念

【2】個人情報の追跡・突合に対する懸念

  • マイナンバーを用いた個人情報の追跡・名寄せ・突合が行われ、集積・集約された個人情報が外部に漏洩するのではないかといった懸念
  • 集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念

【3】 財産その他の被害への懸念

  • マイナンバーや個人情報の不正利用、または、改竄等により財産その他の被害を負うのではないかといった懸念

今回の年金機構のケースでもそうですが、特に私たちが気になるのは「個人情報の不正利用」、つまり、第三者により不正に受給されてしまうのではないか(いわゆる「成りすまし」)といった心配です。

 

マイナンバー制度の開始に先駆けて国が定めている「安全管理措置」とは

そこで、マイナンバー制度では事業者が個人情報が漏洩・滅失・毀損することなく適切な管理を行うために、下記のような厳格な「安全管理措置」というガイドラインを設けています。

組織的安全管理措置  個人情報を扱う担当者を明確にし、担当者以外が個人情報などを取り扱うことがない仕組み作りをするなどの措置を行うもの
人的安全管理措置 従業員による不正な漏洩や内部者による盗難等を防止し、特定個人情報の適正な取り扱いが継続して運用されるように、従業員の監督や教育などの措置を行うもの
物理的安全管理措置 特定個人情報などの漏洩・盗難を防ぐための取扱区域の管理など、担当者以外が特定個人情報などを取り扱うことができないような物理的な措置を行うもの
技術的安全管理措置 担当者を限定数るためのアクセス制御や、ウィルス対策ソフトウェアなどの導入など、担当者以外が特定個人情報などを取り扱うことができないようなシステム的な措置を行うもの

 

マイナンバーを取り扱う事業者は、特定個人情報の適正な取り扱いのために上記のガイドラインに沿った措置を講じなければいけません。

このガイドラインを受けて、国も以下のような安全管理措置をとることとしています。

【1】情報を一元管理せず、分散管理する仕組みを採用

  • 個人情報は今まで通り各公的機関で管理して、必要に応じて情報をやり取りする。
  • 個人番号カードのICチップには、税や年金の情報等プライバシー性の高い情報は記録しない。

【2】情報の暗号化

  • 公的機関間の情報連携の際には、マイナンバーではなく暗号化された符号を用いる仕組みを採用する。

【3】本人確認制度の強化

  • 番号確認に加え、身元確認を義務付ける。
  • 情報にアクセスする際の本人認証機能の強化。(公的個人認証の利用等)

【4】「特定個人情報保護委員会」による監視・監督

【5】情報を流出した際の罰則の強化

以上のように、個人情報はこれまでどおり各公的機関に分散して管理されるため、個人情報がまとめて漏れてしまうようなことはありません。

また、各公的機関の間の情報連携では、マイナンバーではなく機関ごとに異なる符号を用いて行うため、仮に一か所で情報漏洩が発生しても、他の機関が保有する情報には影響しない仕組みとなっています。

それらに加え、本人確認を徹底することにより、万が一マイナンバーを紛失・漏洩した場合でも、それだけでは手続きを行えないようになっています。

さらに、情報が漏洩して不正に使われるおそれがある場合には、マイナンバー自体の変更をすることも可能です。

このような仕組みを採用することによって、マイナンバー制度が導入されたからと言っても、必ずしも情報漏洩リスクは高まるという状況にはなっていないということが分かります。

 

安心・安全のためにはどうすればよいのか?「マイナンバー制度」のセキュリティ対策・6つのポイント

マイナンバー制度においてのセキュリティ対策を考える上で、押さえておくべきいくつかのポイントがあります。

とあるデータによると、情報漏洩事件の8割以上が内部からの流出だそうです。

したがって、その情報を取り扱う事業者においては個人情報の厳しい管理が求められます。

今回のマイナンバー制度の開始を機に、以下のポイントを踏まえて、あらためて個人情報の取扱いを見直してみましょう。

【1】アクセスログの保存・検証

  • アクセスログを記録しそれを監視できる体制にしておき、定期的に確認・不審な動きがないか検証します。
  • また、USBメモリなどへのデータの書き出しについても制限するとともに、その記録を残すようにします。

【2】アクセス制御

  • 特定個人情報ファイルを取り扱うシステムにアクセス制御をかけてアクセス者を限定、または、特定個人情報ファイルにアクセス権を付与することにより取扱い者を限定しておきます。

【3】ファイアウォールの設置

  • 外部からの不正アクセスを防止するため、システムやと外部ネットワークとの接続にファイアウォールを設置します。

【4】ウイルス対策・アップデート

  • 各PC端末には必ずと言っていいほどウイルス対策がなされているはずですが、不審なメールは絶対に開かないといった注意も必要です。
  • また、各PCのOSやウィルス対策ソフトウェアのアップデートも必ず行っておきましょう。

【5】パソコンの外部持ち出しを禁止

  • 特定個人情報が入ったPC自体を外部に持ち出す事は、盗難や置き忘れなどの可能性があり非常に危険です。特定個人情報のデータが入ったPCの持ち出しを禁止する必要があります。

【6】情報の取扱区域を決めて隔離する

  • オフィス内でマイナンバーなどの特定個人情報の取扱区域を区分します。その区域に入る際には、入退室をICカードなどで管理することが必要です。またそれが不可能な場合には、最低限パーテーションなどを設置したり、鍵をかけるなどして区分するようにしましょう。

 

漏洩してしまった場合の罰則は? 知らないとマズいマイナンバー制度の罰則

マイナンバー制度にかかる安全管理措置の一環として、個人情報を流出した際には厳しい罰則を設けています。

これらの罰則の中でも一番厳しいのが、「故意に」情報を漏洩した場合です。

この場合は4年以下の懲役もしくは200万円以下の罰金が科されます。

また、管理監督責任体制に問題があった場合には、特定個人情報保護委員会が業務改善に関する勧告や命令を行います。

この命令に従わないと、情報漏洩が起こっていなくても、2年以下の懲役もしくは50万円以下の罰金が科されます。

個人番号の不正利用などがあった場合、下記のような法定刑があります。

① 正当な理由なく特定個人情報ファイルを提供した場合 4年以下の懲役か200万円以下の罰金又はこれらの併科
② 不正利益目的で個人番号を提供・盗用・漏洩した場合 3年以下の懲役か150万円以下の罰金又はこれらの併科
③ 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合 3年以下の懲役又は150万円以下の罰金
④ 不正な手段により通知カードまたは個人番号カードの交付を受けること 6ヶ月以下の懲役又は50万円以下の罰金

 

このように、マイナンバー制度についての罰則は個人情報保護法など他の法律の罰則よりも厳しいものとなっています。

 

マイナンバーの管理は厳格に!

マイナンバー制度が導入されるとこれまでとは比較にならないほど、個人情報保護に対する罰則が厳しくなります。

個人だろうが、大企業だろうが関係なく、もれなく大きな管理責任が発生するのです。

事業に従事している以上、厳格なマイナンバーの管理責任が生じます。

万が一あなたの管理がずさんで、従業員のマイナンバーが漏洩してしまえば、最悪「4年以下の懲役、若しくは200万円以下の罰金」が科されてしまうのです。

そうなってしまえば、あなたやあなたの会社の社会的信用は地に落ちてしまいます。

 


マイナンバーに関して気になる部分をどこよりもわかりやすく「ガイドブック」にまとめてみました。

難しい行政の資料で挫折された方、分厚い書籍で心折れた方、ご安心ください。大事なポイントだけ、どこよりもわかりやすくまとめてあります。

今スグ読む時間がない方も、いざ導入された時に即対応できるように、ダウンロードして手元に置いておくと便利です。

 

【期間限定】

対策ガイドブック無料プレゼント中!

『知らないと損をするマイナンバー制度6つのポイント』

期間限定ですのでお早めにお申し込みください!

お名前 (必須)

メールアドレス (必須)

郵便番号 (必須)

※ ACTIONなう!は個人情報を厳重に扱います。上記フォームの入力で、利用規約とプライバシーポリシーに合意したとみなされ、メルマガ配信が行われます。メルマガはいつでも任意で配信解除が可能です。

※ 希望日本研究所 第8研究室

マイナンバー関連記事

マイナンバー関連記事をすべて見る