2016年1月から運用が開始されたマイナンバー制度。各社で管理体制の見直しやシステムの導入が進み始めています。
御存知の通り、国内すべての企業はマイナンバー時代に合わせた適切な情報管理が急務です。そこで今回は、重要な個人情報であるマイナンバーの情報漏えいを防ぐ方法を改めてご紹介します。
そもそもマイナンバーとは?
マイナンバー(個人番号)とは、国民一人ひとりが持つ12桁の番号のことです。
平成27年末から自宅にマイナンバーが届いているのではないでしょうか。このマイナンバー制度は、「行政の効率化」、「国民の利便性の向上」、「公平・公正な社会の実現」というメリットがあります。複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用されるものです。
そのためマイナンバーをキーにあらゆる個人に紐づく情報が連携されるため効率性と私たちにとっての行政手続などでの利便性が得られるということになります。このマイナンバー制度自体は、平成28年1月から順次、社会保障や税、災害対策の行政手続でマイナンバー制度が必要になってきます。
企業や金融機関はマイナンバーを厳格に管理する必要がある
個人に配布されるマイナンバーですが、個人と行政機関との間だけの話ではありません。法令で定められた手続のために、行政機関だけでなく企業などへのマイナンバーの告知が必要となります。
企業は、従業員の健康保険や厚生年金の加入手続を行ったり、従業員の給料から源泉徴収して税金を納めたりしています。そのため、従業員は源泉徴収票を作成してもらう時や健康保険、雇用保険、厚生年金などの手続時にも勤務先へマイナンバーを告知する必要があります。
また、銀行や証券会社や保険会社などの金融機関では、利息や配当金、保険金などの税務処理を行っています。それらの処理のためにマイナンバーが必要になるため金融機関に提示する必要があります。
大企業だけの問題ではないマイナンバーの取り扱い
一般企業や金融機関では従業員やお客様の大切なマイナンバーを適切かつ厳格に管理する必要があるのです。このマイナンバーの取り扱いに関する法整備もマイナンバー法として規定されています。
マイナンバーが導入される前に施行された「個人情報保護法」は、すべての企業が遵守しなければならないわけではありませんでした。その企業で保有する個人情報件数が5,000件を超えない企業は対象外であることが個人情報保護法に規定されています。それに対して、マイナンバー法では企業規模を問わずマイナンバーを取り扱うすべての企業に適用されます。
内閣官房のホームページでは、マイナンバーと個人情報保護法の関係を以下のように回答しています。
Q5-7 番号法と個人情報保護法は、どのような関係になるのですか?
A5-7 特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。
(2014年7月回答)
(出典:内閣官房HP - 社会保障・税番号制度とは - (5)個人情報の保護に関する質問より抜粋)
マイナンバーの情報漏えいは企業に大きなダメージを与える
前述したとおり5,000 件以上の個人情報を扱う事業者のみを対象とした個人情報保護法とは異なり、マイナンバー法は中堅・中小企業を含む、すべての事業者を対象としています。さらにマイナンバー法では、保護対象となるデータの重要性から個人情報よりも罰則の種類が多いだけでなく、その法定刑も重く設定されています。そのため、マイナンバーの情報漏えいは事業規模を問わず、大きな損害を被る可能性があります。
たとえば、企業に関わる代表的な罰則規定として特定個人情報などを不正に漏えいした時に対する罰則や不正な手段を用いて個人情報を取得した時の罰則、個人情報委員会の監督・指導に反した時など細かく罰則が規定されており、漏えいに関しては4年以下の懲役もしくは200万円以下の罰金が刑事罰として科せられます。仮に悪意のない漏えいが発覚した場合でも、マイナンバー所有者からの民事訴訟や自体を公表した場合の企業信用力低下など、企業は甚大な損害を被る可能性があります。
情報漏えいを防ぐ対策が急務
情報漏えいは悪意あるものが不正に情報を盗み出すものへの対策のほかにも、そのデータにアクセス可能な人材が誤操作で漏えいを起こさないような仕組みが重要になってきます。日本ネットワークセキュリティ協会による調査結果では、国内で発生した情報漏えいの約8割が誤操作もしくは管理ミスによって発生したものでした。
このことからも不正アクセスへの対応に加えて、権限を有するものが誤操作により情報を漏えいしてしまう場合の対策も企業は講じる必要があります。内閣府の外局である個人情報保護委員会が発行する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、アクセス制御や情報漏えい防止の技術的安全管理処置を講じなければならないと明記されています。
マイナンバーを含む個人情報をファイルサーバーなどに無造作に保管されている状態では安全であるとは言えません。マイナンバーの取り扱いを安全かつ厳格に行うには、データやアプリケーション、デバイス、ネットワークなど、マイナンバーの取り扱いに関係する全ての分野においてセキュリティ対策を抜け・漏れなく実施することが必要です。つまり外部の脅威から多層で防御する考え方が必要があるのです。
クラウドかオンプレミス(社内設置のITシステム)か?
多層防御によるセキュリティ対策を実装するシステムとして、2つの方法があります。一つ目はクラウドを利用する方法、そして、2つ目は社内設置の IT システム(オンプレミス)を利用する方法です。これまでは「重要な情報は社内のサーバーに残しておく」との考え方が主流でしたが、前述したとおり、近年の大規模な情報漏えい事件の多くは社内設置の IT システムがきっかけとなったものです。特に専任の管理者を配置することが難しい中堅・中小企業では、片手間でセキュリティ対策を行ってリスクを高めるよりも、多大な投資を行い安全に管理・運用されているクラウドを利用して多層防御を実装し、マイナンバーの管理を行うことがふさわしいといえるのではないでしょうか?
Office 365とWindows 10の高度なマイナンバー保護
セキュリティ対策で重要なことは、多層防御という考え方です。セキュリティ強化を一点に集中するのではなく多層防御のような全方位的な対策を講じることが重要です。
Office 365 と Windows 10 では、安全にマイナンバーを利用するために必要なセキュリティ機能を全方位的に網羅しています。ここでは、Office 365のWindows 10がどのようにマイナンバーの保護に役立つのかを代表的な機能にしぼりご紹介します。
Office 365のデータ保護
マイナンバーを含むデータはどこにあっても安全かつ確実に保存されている必要があります。Office 365 ではアクセス許可によるアクセス可能ユーザーの限定に加え、 Office 365 IRM での暗号化や可能な操作の限定が可能です。このようなアクセス制御により、うっかりミスや意図的に行われる情報漏えいに効果を発揮します。
Office 365のOneDrive for Businessに保存したデータは勝手に共有されることはありません。 共有する相手は自身で指定するため、情報漏えいのリスクを最小限に抑えることができます。また、共有する相手は簡単に設定でき、ファイルの一覧から現在の共有状況も簡単に確認できます。これにより最小権限のルールが適用されるため必要な人にしかアクセス権を与えない状態を作れるのです。
また、Office 365 に含まれる IRM では、ファイルやメールに対して暗号化を施し、適切な権限を持つユーザーだけがアクセスできます。IRM で暗号化されたメールやファイルには、アクセス権限が設定できるので、ファイルに対しては印刷や名前を付けて保存の操作を制限したり、メールに対してはファイルに対する操作の制限に加えてメールの転送を制限することで情報漏えいを防ぐことが可能になります。
Windows 10との併用でさらに強化されるデータ保護
マイナンバーを含むデータは Office 365 からWindows 10 に保存され、扱われることがあります。Windows 10 に保存されたデータに対しては、BitLocker によるデータの暗号化と Windows Defender によるマルウェア対策でデータを保護します。
近年のサイバー攻撃に多用されるマルウェア(ウイルス)は、凶悪化の一途を辿っており、企業において甚大な被害に繋がる可能性があります。このような攻撃に対抗するため、Windows 10 ではマルウェア対策ソフトウェアを標準で搭載しています。マルウェア対策ソフト Windows Defender は定期的に提供されるウイルス定義と共に最新のマルウェアを常に監視し除去します。
データセンターに保存されたデータもクライアント PC にダウンロードし、 保存すれば、クライアント PC 上にリスクが残ります。Windows 10 では、BitLocker 機能によるディスク暗号化機能によって、簡単な操作で万が一のデバイス紛失時にもデータの漏えいを防ぐことが可能です。
Office 365のアプリケーション保護
データを保護するためには、データを扱うアプリケーションも安全なものである必要があります。Office 365 と Windows 10 では誤操作による漏えいを防いだり、不適切なアプリによるマイナンバーの利用を防ぐことで、アプリケーションレベルでのセキュリティ対策を実現します。
Office 365 のトランスポートルールでは、メールを送信する際にメールの内容をチェックし、個人情報が含まれる場合にはメールの送信をブロックします。個人情報の送信が必要であれば、上司がチェックしてからメールを送信するように構成することも可能です。これにより誤送信を防ぐことが可能です。
また、Office 365ではデータ喪失防止(DLP)を提供します。これにより、メールや Office 365 に保存されたファイルの中から個人情報に該当するデータが含まれていないか確認し、自動的に報告または送信のブロック等を行います。Office 365 ProPlus として提供される Office 2016 アプリケーションにも DLP は搭載されているので、Word によるファイル保存時や Outlook でのメール送信時にも DLP チェック機能が働いて、誤操作による情報漏えいを未然に防ぎます。
Windows 10のアプリケーション保護を強化
Windows 10 に付属する AppLockerではコンピューターで実行可能なアプリケーションを限定することができます。マイナンバーを取り扱うコンピューターではマイナンバーを取り扱うアプリケーションのみを実行可能にすることで、マルウェアに代表される不適切なアプリケーションからマイナンバーが扱われることのないように構成できます。
Office 365のデバイス保護
Office 365 に保存したデータはデータセンター内で他のお客様のデータと分離され、安全に保管されます。一方で Office 365 に保存されたデータを扱うクライアント コンピューターに保存されたデータのセキュリティも検討しなければなりません。Office 365 と Windowsでは、クライアントコンピューターの場所を問わず、デバイスを保護し、漏えいの原因を防ぎます。
通常、メールボックスやポータルサイトへのアクセスは正しいユーザー名とパスワードを入力できれば、だれでもアクセスできてしまいます。Office 365 ではユーザー名とパスワードだけでなく、適切なデバイスからのアクセスであることを確認し、Office 365 のメールボックス (Exchange Online) やポータルサイト (SharePoint Online/OneDrive for Business) へのアクセスを許可します。また、Office 365 に一度登録したデバイスを紛失した時は遠隔からデータを消去することも可能です。
Windows 10のデバイス保護
Windows へのログインやクラウドへのログインなど、あらゆる生活の場面でパスワードの入力を求められます。Windows 10 では顔や虹彩、指紋などの「生体認証」を使うことでパスワードを使わずにサインインできます。さらに、Windows 10 の認証は Office 365 の認証と統合できるため、パスワードを一度も入力することなく、Windows と Office 365 の両方に安全にアクセスできます。
Office 365のネットワーク保護
Windows 10 コンピューターから Office 365 へのアクセスにはネットワークを経由します。そのネットワークとネットワークの先にある Office 365 の保存領域 (データセンター) を安心して利用できるよう、業界最高水準のデータセンター保護およびネットワーク保護を実現しています。たとえば、マイクロソフト社ではすべての通信を暗号化するだけでなくデータセンター内のマイナンバーを含むデータを完全に分離され管理されています。すべての通信は監視されていて、不正アクセスとみられる通信を特定します。その安全性などは第三者機関である日本セキュリティ監査協会JASA-クラウドセキュリティ推進協議会が制定した「クラウド情報セキュリティ監査制度」において、日本初となる「クラウドセキュリティ(CS)ゴールドマーク」を取得したことからもご理解いただけるでしょう。
まとめ
Office 365 を使い始めたその日から、簡単に、データ、アプリ、デバイス、ネットワークと、すべての分野に渡るセキュリティ対策を実現することが可能になります。ぜひ、古いOfficeからOffice 365へと移行しセキュリティ強化を検討してみてはいかがでしょうか?