満を持して始まったマイナンバー制度
施行前から注目されていたマイナンバー制度は、2015年10月から国民一人ひとりに12桁の番号を付与し、社会保障、税、災害対策といった3つの分野において、複数の機関が保有する個人情報が同一人の情報であることを確認するために活用されます。
マイナンバー制度の主な目的には、公平・公正な社会の実現、行政の効率化、国民の利便性向上の3つがあります。
1.公平・公正な社会の現実
所得状況のほか、行政サービスの受給状況を把握することで、不正受給を防ぐと共に適切な人材へ支援を行なえる社会を作ることを目的にしています。
2.行政の効率化
マイナンバーを付与することで、情報共有が可能になるため、情報の照合にかかる時間や転記、入力の手間を省くことができ、行政処理にかかる時間削減と手間の軽減が期待されています。
3.国民の利便性向上
添付書類の削減などによる行政手続きの簡素化で、行政機関だけでなく、国民自身の負担軽減も期待されています。
マイナンバーは日本に住民票がある全ての人に付与されます。そのため、外国人でも住民票があれば付与されることになります。マイナンバー制度を導入することで、複数の機関が情報を共有し、生活保護などの不正受給を防ぎ、行政処理を簡素化し、我々国民の利便性を向上させるなど、たくさんのメリットを期待して導入された制度、それがマイナンバー制度です。
実施前に見えていなかった課題
様々なメリットを期待して実施されたマイナンバー制度ですが、制度開始から3年が経過した今もなお、普及率はそれほど高くはありません。確かに、税の申告や企業への入社時にマイナンバーを提出するなど、重要な場面で使われることはあっても、それは必要最低限にとどまります。
制度の導入前から「住基カードに代わる身分証明書」として注目されたマイナンバーカードですが、2018年3月1日時点でのマイナンバーカードの交付枚数は1,367万2,762枚と、人口の10.7%にとどまるという結果が出ています。
当初の予想を大きく下回る結果を導いた背景には、情報漏洩のリスクがあることが挙げられています。
マイナンバーが外部に漏れる原因は政府や行政による漏洩、勤務先など企業からの漏洩、通知カードや個人番号カードの紛失や盗難による個人からの漏洩の3パターンです。政府や行政による流出に関しては、個人の意識の問題で未然に防ぐことはできません。自分が関わる自治体で安全かつ適切に情報が管理されることを願うしかありません。
企業からの漏洩については、入社時や社会保険の加入時にマイナンバーの記入や開示を求める企業が増えていることから、正しく保管・利用・破棄されないことで発生するリスクが高まります。人為的なミスや盗難などヒューマンエラーによるリスクも捨てきれません。盗難という点では、カードの所持者本人による紛失や盗難のリスクもあります。
また、個人による漏洩に関しては、マイナンバーカードを所持しているだけで危険にさらされることもあります。これは、マイナンバーカードの構造に問題が隠されています。
マイナンバーカードにはICチップが内蔵されており、ここには電子署名と利用者証明といった、2つの電子証明書が搭載されています。電子署名は実印相当の効力があるものといわれており、実際に、三菱UFJ銀行では2017年4月から実印代わりにマイナンバーカードを利用し、住宅ローンの契約ができるようになりました。
電子署名の具体的な利用方法としては、マイナンバーカードの所有者がICカードリーダーやスマートフォンのNFC機能を使用し、企業のオンラインサービスを利用すると、パスワード入力だけで電子署名をつけた電子書面が送れます。
利用者証明はICカードリーダーにマイナンバーカードをかざし、4桁の暗証番号を入力するだけで、専用ポータルを利用することができます。コンビニエンスストアで住民票の写しや印鑑登録証明書などの証明書を受け取れる自治体も多くあります。
カードの所持と暗証番号の入力で本人確認をするというシステムですが、マイナンバーカードをICカードリーダーやリーダー機能を持つスマートフォンにかざすだけで、電子証明書の有効期限(カードの発行から5回目の誕生日)や、発行元の自治体の市町村コードなどが読み取れると言われています。
つまり、満員電車で対応スマートフォンを他人のバッグにかざしてマイナンバーカードの一部情報を読み取るといった事件の可能性が無いとは言えないわけです。
海外ではなりすまし被害が横行している
国民に番号を付与するマイナンバー制度は先進国では一般的な制度で、日本の導入は先進国の中でも遅いスタートとなりました。具体的にはアメリカのほか、カナダ、イギリス、ドイツ、中国、韓国、オーストラリア、シンガポールなど幅広い国でマイナンバー制度が導入されています。
日本よりも早くマイナンバー制度の導入を実現したこれらの国々で問題になっているのが、なりすまし被害の横行です。番号が個人の証明になるのをいいことに、番号を不正利用した不法滞在者の就労や、社会保障の受給、借金など、たくさんの被害報告が挙がっているそうです。アメリカでは制度の見直し議論が頻出しており、社会的な問題として話題に事欠きません。
2018年12月現在、日本でマイナンバー制度を利用できるのは税、社会保障、災害発生時という3つの分野に限定されています。そのため、海外の事例とまったく同じトラブルに遭遇するリスクは低いでしょう。しかし、今後、マイナンバーの利用範囲が広がれば状況が変わることはいうまでもありません。マイナンバー制度により付与される12桁の番号は漏洩などの事故が無い限りは変更されることはなく、生涯1つの番号を使い続けることになります。これからマイナンバー制度が日本社会で浸透すればするほど、芋づる式で経歴や職場など、複数の情報漏洩につながるリスクは否定できません。
もしも個人情報が流出してしまったら
個々による管理を徹底することはいうまでもありませんが、社員情報や顧客情報を取り扱う企業側もセキュリティ対策を十分に実施し、情報の流出を防ぐよう努めなければなりません。そのため、情報管理者やセキュリティ担当を企業ごとに設け、どのような対策を取るのか、また、万一、情報が流出した際にどのような手順を踏んでリスクを最小限にとどめるのかについて明確にしておく必要があるでしょう。
情報が流出した場合は、流出した情報が悪用される二次被害を防ぐことが大切です。マイナンバーやクレジットカード番号が流出すると顧客が知らないところで利用されてしまうかもしれません。個人情報が流出した場合は、その事実が発覚した段階で被害を最小限に抑えられるよう迅速な対応が求められます。
【情報流出の対処例】
1.情報流出の内容とその原因を調査
どんな情報が流出したのか?どこから流出したのか?なぜ流出したのか?を調査します。
2.継続的な情報流出を止める
該当機器をネットワークから切り離し、停止します。
3.代替機器やサイトの立ち上げ
通常通りの運営ができるよう努めましょう。
4.謝罪
原因究明を進めると共に、流出した情報の中に顧客情報が含まれる場合は直ちに事実を公表し謝罪しましょう。企業HPに謝罪文を載せたり、謝罪会見を開いたりします。
5.問い合わせ窓口の設置
流出対象者は何がどれだけ流出したのか?その影響は?など不安になっています。真摯に対応し不安を和らげる対応が求められます。
情報流出を予防するには
情報流出の被害低減・防止のためには、外部からの攻撃対策と内部からの持ち出し対策を行う必要があります。また、日ごろから重要な情報をどこにどれだけ保有しているのか把握すると共に、組織内の情報取り扱いルールを策定し、ファイル暗号化やアクセス制御、ログ記録などで情報を適切に管理しておく必要があります。しかし、人による管理には限界があるのもまた事実です。
情報検索ツールのひとつである「PCFILTER」は、マイナンバーやクレジットカード番号などの個人情報を含むファイルをPCやファイルサーバ・ネットワークドライブから検索し、保有する個人情報を把握することが出来ます。
また、個人情報が含まれた重要ファイルを開く、保存する、コピーする、転送するなど、何らかのアクションを起こした場合に管理者に通知することができるので、人為的な情報流出を未然に防ぐことが可能です。
マイナンバーを管理することは大切な個人情報を管理しているという認識を持ち、適切な対処を心掛けましょう。
満を持して始まったマイナンバー制度
施行前から注目されていたマイナンバー制度は、2015年10月から国民一人ひとりに12桁の番号を付与し、社会保障、税、災害対策といった3つの分野において、複数の機関が保有する個人情報が同一人の情報であることを確認するために活用されます。
マイナンバー制度の主な目的には、公平・公正な社会の実現、行政の効率化、国民の利便性向上の3つがあります。
1.公平・公正な社会の現実
所得状況のほか、行政サービスの受給状況を把握することで、不正受給を防ぐと共に適切な人材へ支援を行なえる社会を作ることを目的にしています。
2.行政の効率化
マイナンバーを付与することで、情報共有が可能になるため、情報の照合にかかる時間や転記、入力の手間を省くことができ、行政処理にかかる時間削減と手間の軽減が期待されています。
3.国民の利便性向上
添付書類の削減などによる行政手続きの簡素化で、行政機関だけでなく、国民自身の負担軽減も期待されています。
マイナンバーは日本に住民票がある全ての人に付与されます。そのため、外国人でも住民票があれば付与されることになります。マイナンバー制度を導入することで、複数の機関が情報を共有し、生活保護などの不正受給を防ぎ、行政処理を簡素化し、我々国民の利便性を向上させるなど、たくさんのメリットを期待して導入された制度、それがマイナンバー制度です。
実施前に見えていなかった課題
様々なメリットを期待して実施されたマイナンバー制度ですが、制度開始から3年が経過した今もなお、普及率はそれほど高くはありません。確かに、税の申告や企業への入社時にマイナンバーを提出するなど、重要な場面で使われることはあっても、それは必要最低限にとどまります。
制度の導入前から「住基カードに代わる身分証明書」として注目されたマイナンバーカードですが、2018年3月1日時点でのマイナンバーカードの交付枚数は1,367万2,762枚と、人口の10.7%にとどまるという結果が出ています。
当初の予想を大きく下回る結果を導いた背景には、情報漏洩のリスクがあることが挙げられています。
マイナンバーが外部に漏れる原因は政府や行政による漏洩、勤務先など企業からの漏洩、通知カードや個人番号カードの紛失や盗難による個人からの漏洩の3パターンです。政府や行政による流出に関しては、個人の意識の問題で未然に防ぐことはできません。自分が関わる自治体で安全かつ適切に情報が管理されることを願うしかありません。
企業からの漏洩については、入社時や社会保険の加入時にマイナンバーの記入や開示を求める企業が増えていることから、正しく保管・利用・破棄されないことで発生するリスクが高まります。人為的なミスや盗難などヒューマンエラーによるリスクも捨てきれません。盗難という点では、カードの所持者本人による紛失や盗難のリスクもあります。
また、個人による漏洩に関しては、マイナンバーカードを所持しているだけで危険にさらされることもあります。これは、マイナンバーカードの構造に問題が隠されています。
マイナンバーカードにはICチップが内蔵されており、ここには電子署名と利用者証明といった、2つの電子証明書が搭載されています。電子署名は実印相当の効力があるものといわれており、実際に、三菱UFJ銀行では2017年4月から実印代わりにマイナンバーカードを利用し、住宅ローンの契約ができるようになりました。
電子署名の具体的な利用方法としては、マイナンバーカードの所有者がICカードリーダーやスマートフォンのNFC機能を使用し、企業のオンラインサービスを利用すると、パスワード入力だけで電子署名をつけた電子書面が送れます。
利用者証明はICカードリーダーにマイナンバーカードをかざし、4桁の暗証番号を入力するだけで、専用ポータルを利用することができます。コンビニエンスストアで住民票の写しや印鑑登録証明書などの証明書を受け取れる自治体も多くあります。
カードの所持と暗証番号の入力で本人確認をするというシステムですが、マイナンバーカードをICカードリーダーやリーダー機能を持つスマートフォンにかざすだけで、電子証明書の有効期限(カードの発行から5回目の誕生日)や、発行元の自治体の市町村コードなどが読み取れると言われています。
つまり、満員電車で対応スマートフォンを他人のバッグにかざしてマイナンバーカードの一部情報を読み取るといった事件の可能性が無いとは言えないわけです。
海外ではなりすまし被害が横行している
国民に番号を付与するマイナンバー制度は先進国では一般的な制度で、日本の導入は先進国の中でも遅いスタートとなりました。具体的にはアメリカのほか、カナダ、イギリス、ドイツ、中国、韓国、オーストラリア、シンガポールなど幅広い国でマイナンバー制度が導入されています。
日本よりも早くマイナンバー制度の導入を実現したこれらの国々で問題になっているのが、なりすまし被害の横行です。番号が個人の証明になるのをいいことに、番号を不正利用した不法滞在者の就労や、社会保障の受給、借金など、たくさんの被害報告が挙がっているそうです。アメリカでは制度の見直し議論が頻出しており、社会的な問題として話題に事欠きません。
2018年12月現在、日本でマイナンバー制度を利用できるのは税、社会保障、災害発生時という3つの分野に限定されています。そのため、海外の事例とまったく同じトラブルに遭遇するリスクは低いでしょう。しかし、今後、マイナンバーの利用範囲が広がれば状況が変わることはいうまでもありません。マイナンバー制度により付与される12桁の番号は漏洩などの事故が無い限りは変更されることはなく、生涯1つの番号を使い続けることになります。これからマイナンバー制度が日本社会で浸透すればするほど、芋づる式で経歴や職場など、複数の情報漏洩につながるリスクは否定できません。
もしも個人情報が流出してしまったら
個々による管理を徹底することはいうまでもありませんが、社員情報や顧客情報を取り扱う企業側もセキュリティ対策を十分に実施し、情報の流出を防ぐよう努めなければなりません。そのため、情報管理者やセキュリティ担当を企業ごとに設け、どのような対策を取るのか、また、万一、情報が流出した際にどのような手順を踏んでリスクを最小限にとどめるのかについて明確にしておく必要があるでしょう。
情報が流出した場合は、流出した情報が悪用される二次被害を防ぐことが大切です。マイナンバーやクレジットカード番号が流出すると顧客が知らないところで利用されてしまうかもしれません。個人情報が流出した場合は、その事実が発覚した段階で被害を最小限に抑えられるよう迅速な対応が求められます。
【情報流出の対処例】
1.情報流出の内容とその原因を調査
どんな情報が流出したのか?どこから流出したのか?なぜ流出したのか?を調査します。
2.継続的な情報流出を止める
該当機器をネットワークから切り離し、停止します。
3.代替機器やサイトの立ち上げ
通常通りの運営ができるよう努めましょう。
4.謝罪
原因究明を進めると共に、流出した情報の中に顧客情報が含まれる場合は直ちに事実を公表し謝罪しましょう。企業HPに謝罪文を載せたり、謝罪会見を開いたりします。
5.問い合わせ窓口の設置
流出対象者は何がどれだけ流出したのか?その影響は?など不安になっています。真摯に対応し不安を和らげる対応が求められます。
情報流出を予防するには
情報流出の被害低減・防止のためには、外部からの攻撃対策と内部からの持ち出し対策を行う必要があります。また、日ごろから重要な情報をどこにどれだけ保有しているのか把握すると共に、組織内の情報取り扱いルールを策定し、ファイル暗号化やアクセス制御、ログ記録などで情報を適切に管理しておく必要があります。しかし、人による管理には限界があるのもまた事実です。
情報検索ツールのひとつである「PCFILTER」は、マイナンバーやクレジットカード番号などの個人情報を含むファイルをPCやファイルサーバ・ネットワークドライブから検索し、保有する個人情報を把握することが出来ます。
また、個人情報が含まれた重要ファイルを開く、保存する、コピーする、転送するなど、何らかのアクションを起こした場合に管理者に通知することができるので、人為的な情報流出を未然に防ぐことが可能です。
マイナンバーを管理することは大切な個人情報を管理しているという認識を持ち、適切な対処を心掛けましょう。