2016年1月1日からいよいよ始まったマイナンバー制度(社会保障・税番号制度)。でもその内容について「実はよくわかっていない…」という人も多いのでは?
また「個人情報が漏洩するかも」といった漠然とした不安を抱く人は、実に全体の75%以上に達していると言われています。
大切な個人情報である「マイナンバー」を管理するには、しっかりとその内容を理解して対策を取ることが大切です。
今回はマイナンバーに関するよくある誤解や個人情報漏洩について知っておきたい点、漏洩対策等をポイントを抑えてご紹介していきます。
マイナンバーには誤解だらけ?
まずはマイナンバーでよくある「思い違い・勘違い」をチェックしていきます。
マイナンバーで現在、何ができる?
「マイナンバー」については「現在手続き可能なもの」と「将来的な構想」がごちゃまぜに浸透している状態です。まずはこの点をスッキリさせておきましょう。
- 2016年1月に利用開始
- 社会保障関連:年金・保険の資格の取得、年金の給付、生活保護の申請等
- 税金関連:納税に関する各種届出、確定申告、支払調書等(2017年手続き分から必須)
- 災害対策関連:地震・台風による被災時の支援金給付等
- 2017年~2018年に運用開始開始予定
- 専用サイトでの確定申告のオンライン受付
- 行政サービスのオンライン手続き受付
- 預金口座の申請(任意での登録)
- 特定健康診査(メタボリックシンドローム検診)の受付・情報登録
- 将来的な構想
- 健康保険証・年金手帳の情報との一元化
- 運転免許証・パスポートとの一元化
つまり2016年1月現在、マイナンバーの記入が必要となるのは主に「保険・年金の手続き」と「税金関連手続き」というわけですね。
「通知カード」と「マイナンバーカード」の違いって?
国民一人一人に送られる「通知カード」と、申請を任意で行い受け取る「マイナンバーカード」では、扱いが全く異なります。
「マイナンバーカード」は単体で身分証明書となる
「マイナンバーカード(個人番号カード)」とは、写真入り・ICチップ付きのカードのこと。運転免許証等に匹敵する公的な身分証明書です。
携帯電話の契約・レンタルビデオ店の申込・銀行口座の開設等、民間企業での本人確認手続きにも利用できます。またコンビニでの住民票・印鑑証明書の発行も可能です。
通知カードでは本人確認書類が別途必要
「通知カード」は、原則として行政窓口での手続きの際に必要となるカードです。単体での本人確認書類(身分証明書)とはならず、手続きの際には運転免許証・パスポート等の本人確認書類の提示が別に求められます。また民間事業者との契約時における本人確認書類としての使用も不可。コンビニでの住民票等の発行もできません。
マイナンバーがバレたら、全ての個人情報は流出する?
「マイナンバー」は住民票コードを変換した数字。そのため12桁の数字のみが単体で流出しても、そこから更に個人情報を取得することはできません。
また「マイナンバーカード」のICチップに記録されているのは、住所・氏名・生年月日、個人認証のための電子証明書だけです。税金情報や年金情報等はICチップに入っていません。「マイナンバーカードから、あらゆる個人情報が一気に流出!」というわけではないのですね。
マイナンバー漏洩による被害とは?
マイナンバーで問題とされるのは、住所・氏名等の個人情報と「セット」になっての情報漏洩です。国民一人一人に割り振られた特定の数字であるため、他の情報とセット漏洩することで、さらなる個人情報との突き合わせも容易になります。また通知カード・マイナンバーカードの紛失による被害も懸念されています。
- 現在予測されている漏洩被害は?
- 名簿屋等、業者への個人情報の不正売買(ダイレクトメール・電話勧誘等への利用)
- 郵送・インターネットによる行政手続きの「なりすまし」被害
- 住民票の不正入手
- 窓口での婚姻届・死亡届・離婚届等の不正手続き
- クレジットカード作成・ローン申込・ネットショッピング等の不正契約等
マイナンバーの利用範囲拡大で、漏洩被害は深刻化する?
行政の各種手続きを「社会保障番号」で一元化しているアメリカの場合、年金や医療給付金、失業給付金の不正受給等の「なりすまし被害」は年間300万件以上。
また「住民登録番号」を民間企業に収集させた韓国では、大型の情報漏洩によるクレジットカードの多数の不正契約も発覚しています。「マイナンバー」の適用範囲が拡大するにつれ、アメリカや韓国のような甚大な漏洩被害が起こる可能性が高くなると言えるでしょう。
マイナンバー漏洩を防ぐための対策は?
2016年からは雇用者が従業員のマイナンバーを把握することが義務付けられ、民間企業・店舗が各自でマイナンバーを管理することになりました。
万一マイナンバーを漏洩させた場合、違反者・事業者には重い刑事罰(違反者はは4年以下の懲役もしくは200万円以下の罰金、企業側にも200万円以下の罰金)が課せられ、損害賠償責任も発生します。漏洩対策は徹底して行う必要があると言えるでしょう。
社内・店舗内での対策
マイナンバーを扱う業務・部署をハッキリさせる
マイナンバーが必要とされるのは主に源泉徴収・保険・年金関連の事務業務です。取り扱い部署を曖昧に分散させず、可能であれば単一部署に留めます。
できれば、情報取扱部署の入退室等を完全管理できるのが理想的。「ちょっとそれは無理」という場合には、パーティションやパネル等で他の部署からの「目隠し」をしておきましょう。
マイナンバー管理担当者・責任者をキチンと決める
企業情報漏洩の80%以上は社内内部者からの流出であると言われています。管理担当者には信頼できる人を選ぶことが大切です。
社内でのマイナンバー取り扱いルールを決める
マイナンバーの取扱ルールは曖昧にせず、周知前にマニュアルを作成しておきます。
- ルール例
- マイナンバー記載書類の回収・廃棄方法(シュレッダー等)
- マイナンバー情報の入ったPCの持ち出しの厳禁
- 個人情報データのUSBメモリ等への持ち出し、印刷の禁止
- マイナンバー記載書類(紙ベース)の保管金庫の用意、鍵の管理方法
これらのルールは担当部署だけでなく、社内・店内の従業員全員に周知し徹底させることが大切です。
パソコンでの対策
OS更新プログラム・ウイルス対策ソフトは常に最新に
外部からの不正侵入を防ぐための第一の基礎は、OSとウイルス対策ソフトを常に最新状態にしておくことです。更新ファイル等は自動更新する設定にしておきましょう。
ファイアウォールを設置する
1台のPCを防御するパーソナルファイアウォール、もしくはネットと社内LANの間に設置するファイアウォールを設置し、外部からの不正侵入を防ぎます。
アクセス制御・アクセス権を特定する
マイナンバーに関わるファイルへアクセスできる権限保持者を限定し、内部からの情報流出を防ぎます。
ログ監視システムを導入する
PCのログ(履歴)を監視できるシステムの導入も重要です。デスクトップへのコピー、外部メモリへの持ち出し、印刷、ネット上へのアップロード、削除等が行われていないかを定期的に確認していきます。コンソール機能があるログ監視システムを導入すれば、膨大なログの確認もある程度容易になります。
セキュリティ対策システムを導入する
セキュリティ対策システムを導入しておけば、マイナンバーが暗号化して管理されるため、万一外部からの侵入があっても情報漏洩のリスクを抑えられます。
日立の「マイナンバーセキュア管理システム」、富士通ソフトウエアの「Systemwalker Desktop Patrol」「FUJITSU Software Systemwalker Desktop Keeper」等、多数のセキュリティ対策システムが登場していますので、比較検討してみましょう。
もしもマイナンバーが漏洩したら…?
「漏洩させない!」という対策を万全に行うことはもちろんですが、「万一」を考えた場合の対策マニュアルも作っておきましょう。
速やかな状況確認が第一
「漏洩しているかもしれない」という懸念があったら、すぐに事態を確認しましょう。確認が後手になるほど漏洩被害は拡大します。事実関係(漏洩影響範囲)の調査と共に、原因の究明を行います。
漏洩したと見られるマイナンバー保持者への早急な連絡
漏洩した可能性のあるマイナンバー保持者(従業員等)に対しては即時での連絡・陳謝を行い、早急な行政への問い合わせを促します。漏洩被害(二次被害)を防ぐためにも本人への連絡は迅速に行うことが大切です。
特定個人情報保護委員会(PPC)へ連絡
マイナンバー(個人番号)の適正な取扱が行われなかった旨をPPCガイドラインに従った形で報告します。
事実関係の公表、再発防止策の考案
漏洩の事実関係はその被害状況に応じて事業者内、もしくは顧客に対して内容公表します。また同じ漏洩が起こらないため
の再発防止策を同時に公表することも重要です。
おわりに
現在はまだ利便性が実感できるところまでは行っていないマイナンバーですが、2017年からは各種の行政手続きがオンラインで可能になるなど、国民の側にもメリットが増えていく予定になっています。
しかしメリットの増加にはリスクが付き物。個人情報漏洩、なりすまし等の二次被害を防ぐためにも、情報保護に対する意識を高め、徹底した管理対策を取りましょう。
