マイナンバー制度施行にともなうセキュリティ強化

マイナンバー制度施行にともなうセキュリティ強化

2015年10月に数字12桁が記載される個人番号(マイナンバー)通知カードの配布を皮切りに、2016年1月にはマイナンバーの利用が開始されます。マイナンバーにより国民の利便性が増す反面、特定個人情報が漏えいした場合の悪影響は計り知れません。そのため、マイナンバーを含む個人情報が漏えいしないよう、厳重な管理体制が不可欠になります。

<目次>

  1. マイナンバー制度とは
  2. マイナンバー制度によって変わること
  3. マイナンバーへの対応が遅れるとどうなるの?
  4. マイナンバー制度施行に向けた準備
  5. 「安全措置を講じている」とみなすために必要なセキュリティ強化策とは

マイナンバー制度とは

マイナンバー制度は行政の効率化や国民が受ける行政サービスの利便性向上を目的に、住民票を有する個人および法人に一意の識別コードを割り当てることで個人と、これまで年金や介護保険、自治体業務などに分散管理されていた行政情報を横断して検索できる仕組みを整備することが狙いの一つです。この個人の識別においては数字12桁が用いられ、人事給与関連の業務が行政と関わるとき、例えば源泉徴収票や社会保険の被保険資格取得などの様式に用いられることになります。

マイナンバー制度とは

マイナンバー制度によって変わること

マイナンバーの管理に関しては新たに番号法(正式名称:行政手続きにおける特定の個人を識別するための番号の利用等に関する法律)が設けられ、個人情報保護法よりも重い規則が適用されます。民間事業者の情報管理において大きく変化するポイントは以下の3つとなります。

1. 情報の重み

1. 情報の重み

番号法施行によって、これまで企業が扱っていた社員情報は特定個人情報になり、企業に事業者としての安全管理を義務付けるほどの重要情報に変化します。特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報はマインバーによっては名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せされております。


2. 情報管理の範囲

2. 情報管理の範囲

正社員以外のマイナンバーも管理する必要があります。主に行政の税と社会保障に関わる業務に必要なため、社員の扶養家族や配偶者のマイナンバーも取り扱うことになります。さらには、パートやアルバイト、講演依頼などの報酬支払にも用いられるため、保護すべき範囲は広がります。


3. 責任の範囲

3. 責任の範囲

正当な理由なくマイナンバーを提供した場合等において懲役や罰金などの罰則が取扱事業関係者に適用されます。こうした場合には違反した当事者のみならず、事業主も処罰の対象となります。例えば、マイナンバー入りの名簿を不正に持ち出すと最長で懲役4年が科されます。特に外部委託先や再委託先に対しても特定個人情報の保有企業が責任を持つことが明記されており、法的な管理責任は免れません。


マイナンバーへの対応が遅れるとどうなるの?

2016年1月より、社会保障や税金関係、災害対策の書類にはマイナンバーの記載が義務付けられるため、番号がないと受理されない可能性があります。また、情報管理が甘いと、マイナンバー入りの情報を誤って外部に送信したり、不正アクセスで社員の番号情報を抜き取られたりする危険性が高まります。

マイナンバー制度施行に向けた準備

マイナンバー制度施行にむけ、事業者に必要となる対応は大きく分けて以下の4つとなります。2015年中に下記ポイントをふまえた運用体制を整えておくことが重要です。

社内規定の見直し マイナンバーに関する基本方針や取扱規定などの策定
システム対応(改修) 人事・給与・会計システムなどにマイナンバー、法人番号を追加する対応
マイナンバーの安全管理措置 マイナンバーの管理について組織体制、担当者の監督、区域管理、漏えい防止、アクセス制御など
従業員への周知・徹底 マイナンバーに関する従業員への社員研修や勉強会の実施

特定個人情報の適正な取扱いに関するガイドライン

「安全措置を講じている」とみなすために必要なセキュリティ強化策とは

マイナンバーを適正かつ安全に取り扱うための「安全管理措置」を講じることは不可欠です。原則的には特定個人情報保護委員会が公開しているガイドラインに従うことが、まずは安全措置のわかりやすい指針になります。

そこで、情報システム部門の実務として深くかかわる「技術的安全管理措置」として、サイバネットシステムがおすすめするセキュリティ強化製品をご紹介いたします。

講ずべき安全管理措置 製品名
QGG SKYSEA
Client View
Symantec
Endpoint
Protection
アクセス制御
アクセス者の識別と認証
外部からの不正アクセスなどの防止
情報漏洩などの防止

マイナンバーなどの個人情報を集めて守る「QGG」

マイナンバーガイドラインにある安全管理措置。その中で、特に重要なマイナンバーの電子ファイルについて、探査・集約・保護のすべてを一元的に管理できるソリューションです。

マイナンバーなどの個人情報を集めて守る「QGG」

QGGの主な機能

1.特定個人情報の探査・収集・保護

特定個人情報を含むデータがないか自動でチェック。発見したデータを収集し、安全なサーバーに移動し特定個人情報を厳重にガードします。

2.操作ログ収集、ファイル操作履歴の追跡

編集や保存といった操作ログや、印刷履歴や持ち出し申請といった利用履歴を追跡。特定個人情報の取扱状況の把握・確認・保存が可能となります。

3.情報の持ち出し記載と持ち出し許可

指定したUSBメモリのみ書き出しを許可するといった規制や許可申請が可能。持ち出す場合のリスクを最小限に低減することができます。

QGG製品詳細はこちら

マイナンバーの安全管理に必要な情報漏洩対策を支援「SKYSEA Client View」

マイナンバー制度の運用開始にともない、組織においても従業員のマイナンバーの適切な管理が必要になります。SKYSEA Client Viewは、特定個人情報の漏洩対策を支援し、組織のIT資産の安全運用と無駄のない有効活用をサポートする各種機能をご提供します。

SKYSEA Client Viewの主な機能

1.日々のPC操作をログとして管理、障害発生時の早期対応などにも活躍

クライアントPCのさまざまな操作をログとして記録。膨大なデータから必要な情報を抽出することで、「いつ」「誰が」「何をしたのか」を正確に把握し、システム障害時などに問題点を素早く発見できます。ログが記録されていることをユーザーが理解することで、情報セキュリティ意識の向上にもお役立ていただけます。

日々のPC操作をログとして管理、障害発生時の早期対応などにも活躍

2.デバイス、メディアの適正管理で、個人 / 機密情報の漏洩防止を支援

USBメモリなどの記憶媒体は大量のデータを手軽に持ち運ぶことができる反面、紛失などによって重要情報を漏洩し、企業の信用を失う危険性もはらんでいます。本機能を活用し、USBデバイスやメディアを1台ずつ適切に管理、細やかに使用制限を設定することで、組織の大切な情報を守るお手伝いをいたします。

デバイス、メディアの適正管理で、個人 / 機密情報の漏洩防止を支援

3.不適切な操作を制限、ユーザーの情報セキュリティ意識向上に

業務と関係ないアプリケーション使用や、Webサイトへの書き込みなど、組織のセキュリティポリシーに違反する行為に対して、注意表示(アラート)メッセージを通知したり、操作そのものを禁止するように設定できます。社内ポリシーに反する行為が行われたPCの画面を、自動的に録画することも可能です。

不適切な操作を制限、ユーザーの情報セキュリティ意識向上に

4.重要データが集まるサーバーを監査、ログを活用して的確に状況把握

サーバーには個人情報や社外秘ファイルなど、重要なデータが集約されており、万全の情報漏洩対策が必要です。本機能では、各サーバーのイベントログを集積し、一括管理。権限のないユーザーからのアクセス(失敗アクセス)ログも記録でき、成功 / 失敗アクセスの傾向把握にお役立ていただけます。

SKYSEA Client View製品詳細はこちら

未知のセキュリティ脅威からのエンドポイント保護ソリューション 「Symantec Endpoint Protection」

2015年6月に発表された日本年金機構が保有する個人情報データの一部が外部に流出した事例にあげられるように、企業へ侵入し、個人情報や機密情報を搾取する標的型攻撃の脅威が増しています。Symantec Endpoint Protectionは優れた防御力と高いパフォーマンスでPCを保護し、マイナンバーなどの個人情報の漏洩を未然に防ぐソリューションです。

Symantec Endpoint Protectionの主な機能

1.独自技術インサイトにより新次元の防御力とスピードを実現

次世代防御技術“シマンテック インサイト”を搭載し、「確かな防御力」と「優れたパフォーマンス」を同時に実現。飛躍的に向上した防御力で未知のセキュリティ脅威や Web 攻撃から企業を守り抜き、しかも今までにないスピードを実現します。

独自技術インサイトにより新次元の防御力とスピードを実現

2.クラウドベースのセキュリティ対策

サイバネットでは従来からのオンプレミス型の提供に加え、クラウドサービスでも「Symantec Endpoint Protection」を提供しています。管理サーバは不要のため、初期構築費用やハードウェア費用・保守費用を押さえた利用が可能となります。

クラウド型Symantec Endpoint Protection製品詳細はこちら

 


関連製品

お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ一覧