マイナンバーに伴うセキュリティ問題のあれこれ

マイナンバーに伴うセキュリティ問題のあれこれ

2015年10月、ついにマイナンバーの通知が始まりました。

わずか3ヶ月の準備期間の後に、2016年1月からはもう段階的に運用が開始されます。 日本国民なら全て関わりがあるマイナンバー制度だからこそ、心配なのは情報漏えいに関する問題です。 今回は、マイナンバーに伴うセキュリティ問題についてみていきましょう。


IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

早くも蔓延するマイナンバー詐欺

マイナンバー制度の通知の開始早々、すでにマイナンバー制度に便乗した「マイナンバー詐欺」が全国で相次いでいます。 「あなたのマイナンバーが流失している」という不審な電話がかかってきて、取り消し料を払えと要求するものです。 警察や役所への相談により被害は未然に防がれていますが、実際に現金をだまし取られる被害も発生しました。

実際の被害があった事例としては、次のようなものがあります。

公的機関を名乗る人物から電話で偽のマイナンバーを伝えられた被害者の元に、別の男性から「ある公的機関に寄付をしたいので、マイナンバーを貸して欲しい」という連絡がありました。そこで被害者がマイナンバーを教えてしまったのです。 すると、寄付を受けた機関の人間だと名乗る人物に「マイナンバーを教えたことは犯罪にあたる」と脅され、数百万円を支払ってしまったという事例です。

このような詐欺が発生する背景には、マイナンバー制度について国民がよくわかっていないことと、マイナンバーの情報管理に対する国民の不安感が挙げられるでしょう。 内閣府の調査(2015年7月から8月実施)でも、34.5%もの人が、個人情報の漏えいやプライバシー侵害を不安視しています。


マイナンバーを狙う犯罪者

マイナンバーは、振り込め詐欺などに代表される特殊詐欺の実行犯にとって、格好のネタとなってしまっています。 なぜなら、マイナンバーの利便性やメリットは、情報が裏社会に流出すればそのまま裏社会にとっても便利な長所となるからです。

マイナンバーが流出すれば、今まで闇社会に流通していた複数の個人情報リストを、マイナンバーのもとに関連づけ、より正確で広範囲な個人情報としてデータベース化することが可能になるでしょう。 犯罪者が狙う格好のターゲットとして、多数のマイナンバーを取り扱うことになる企業が考えられます。


企業でのマイナンバーの取り扱いとセキュリティ

マイナンバー制度において、企業に求められる役割や業務は多岐にわたる上、管理責任も重大です。

まず、企業は自社の従業員とその扶養家族だけでなく、請負契約の支払い(たとえば講義の謝礼、記事執筆に対する原稿料など)の相手や、不動産使用料や配当の支払先についても、マイナンバーを収集し、適切に管理しなければなりません。 収集されたマイナンバーは、報酬等にかかる支払調書や源泉徴収票、社会保険関係の手続きなどに利用されます。 企業に収集・保管されたマイナンバーは、不要になるか、保存期間を超えた時点で廃棄されます。 この収集・保管・廃棄の流れのなかで、企業が得た情報は社内外両方からの漏えいリスクにさらされ続けることになるため、それを完全に回避・防止をすることが求められています。


企業にはいっそうのセキュリティ対策が不可欠!

企業は、ウイルスなどのマルウェアを利用したサイバー攻撃による情報漏えいに、以前にもまして警戒しなければなりません。 マイナンバー制度に似た「社会保障番号制度」を運用しているアメリカやカナダ、韓国などでは、個人情報の漏えい事件が多発しています。

2015年2月には、不正アクセスにより、約8,000万件もの住所や氏名などの個人情報が流出する事件がアメリカで発生しました。 このような事態は、日本でも起きるおそれがあります。企業は、セキュリティ対策ソフトの導入や、これまでより一段上のセキュリティシステムの導入の検討が必要です。

さらに重要なのが、外部犯への警戒だけではなく、内部からの情報漏えいへの警戒です。 企業内部の関係者が、犯罪者にマイナンバーのリストを売るために、直接ないし間接的に手引きを行うことが考えられます。

2014年1月には、韓国で企業の内部犯による不正な情報持ち出し事件が発覚。その事件では、住民登録番号や金融機関の口座番号を含む顧客の個人情報の漏えい被害が約2,000万件にも上りました。

情報漏えいが発覚すれば、企業イメージの毀損、信用の失墜、損害賠償の対象になるほか、 マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)による処罰の対象となります。 このような事態を防ぐためにも、企業の情報セキュリティの一層の強化が求められているのです。