第86回 マイナンバーの保管の安全管理措置
マイナンバー制度では、マイナンバーがつけられた「特定個人情報」の取り扱いには行政側はもちろん、企業側にも厳しい管理義務が課せられる。個人情報保護法では、もちろん、流出しないように管理する義務は課せられているが、罰則は緩かった。管理が十分でなく、流出事故があった場合には、主務大臣(主務官庁)から行政指導が行われ、その指導に従わなかった際に、初めて刑事罰・罰金刑が課せられる、という構造だった。
致命的な欠陥は、流出させた個人には「情報窃盗罪」がないため、罪に問えないことだ。このため、一旦、盗み出された被害者に当たる管理者側に監督責任を負わせ、主務大臣(主務官庁)が指導して管理を厳格にさせ、流出を防ぐ仕組みだ。指導を受けてそれに従わなければ初めて処罰する、という間接的な方法だが、これに対しては「行政指導する官庁が監督していてはコンプライアンス上、問題だ。第三者機関による監督と罰則がなければ統制がきかない」などとしてEUなどから批判を受けた。原子力発電所の事故の際に、行政指導するエネルギー庁の中に監視機関があっては身内の監視で実際は統制が効かない、として、第三者委員会を設置したのと同様の構造である。
マイナンバー法では行政各省庁とは独立した「特定個人情報保護委員会」が監督・指導し、命令を受けた事業者(担当者)が違反した場合には「2年以下の懲役または50万円以下の罰金」の規定ができた。委員会の検査等に際し、虚偽の報告、虚偽の資料の提出、検査拒否があった場合、1年以下の懲役または50万円以下の罰金となる。
さらに「使用人等に対する監督責任を怠った法人等に対する罰則」が決められている。
「法人の代表者、管理者、代理人、使用人等が違反行為をしたときは、その行為者とともに、その法人または事業主に対しても、罰金刑が科せられる」。マイナンバーがついた個人情報については、現行の個人情報保護法より厳格になっている。
米国で起きた大規模な行政職員の個人情報流出のような事態が、マイナンバー制度下の日本で発生するのは何としても防がなければならない。
企業は、従業員・アルバイトや個人取引先、株主などの税・社会保障関係の書類にマイナンバーをつけて関係機関に提出するために、その情報を一時、保管することになる。マイナンバー収集時や提出までの保管期間に安全管理措置を厳格に講じておかなければならない。
組織的安全管理措置のほか、人的、物理的、技術的各面での安全管理措置が義務付けられている。
「組織的安全管理措置」では、組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏洩事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直しなどの対応策、「人的安全管理措置」では、事務取扱担当者の監督、事務取扱担当者の教育などの対応策、「物理的安全管理措置」では、特定個人情報等を取り扱う(作業)区域の管理、(情報)機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏洩等の防止、個人番号の削除、機器及び電子媒体等の廃棄処分方法の具体策、「技術的安全管理措置」では、(指定された担当者しか作業できない)アクセス制御、(パスワードや生体認証などによる)アクセス者の識別と認証、(最新のウイルス対策ソフトの利用など)外部からの不正アクセス等の防止、情報漏洩等の防止の対策などがチェックポイントとして挙げられている。
ただ、中小企業などの過度な負担を軽減するため、従業員100人以下の中小規模事業者には特例が設けられている。
しかし、米国の行政職員人事情報の大量盗難の例に見るように、厳重な防御体制でもサイバー攻撃によるシステムへの侵入を完全には防げない、という認識が広がっている。マイナンバーを収集して事務に利用する行政関係機関では、特に、サイバー攻撃の標的になる恐れは否定できない。こうした事態に対応するため、民間企業では「秘密分散処理技術」を利用したセキュリティのソリューションが誕生している。
たとえば国産技術をベースにしたTCSI社の「秘密分散ソリューション」では、ファイルを一度暗号化した上に分割して分散保管する。分割した断片だけでは暗号が解けず、復元できないので、サイバー攻撃や従業員などがファイルから情報を盗みだしても、それだけでは無意味なゴミ信号に過ぎないので安全が保障できる。同社には自治体などからの問い合わせが殺到しているそうだが、こうした新技術の普及によって、サイバー攻撃からファイルを守ってゆくのも対応策の1つだろう。
技術的安全管理措置はまだ、進展する余地があるので、新サービスの情報に注意を払う必要がある。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
致命的な欠陥は、流出させた個人には「情報窃盗罪」がないため、罪に問えないことだ。このため、一旦、盗み出された被害者に当たる管理者側に監督責任を負わせ、主務大臣(主務官庁)が指導して管理を厳格にさせ、流出を防ぐ仕組みだ。指導を受けてそれに従わなければ初めて処罰する、という間接的な方法だが、これに対しては「行政指導する官庁が監督していてはコンプライアンス上、問題だ。第三者機関による監督と罰則がなければ統制がきかない」などとしてEUなどから批判を受けた。原子力発電所の事故の際に、行政指導するエネルギー庁の中に監視機関があっては身内の監視で実際は統制が効かない、として、第三者委員会を設置したのと同様の構造である。
マイナンバー法では行政各省庁とは独立した「特定個人情報保護委員会」が監督・指導し、命令を受けた事業者(担当者)が違反した場合には「2年以下の懲役または50万円以下の罰金」の規定ができた。委員会の検査等に際し、虚偽の報告、虚偽の資料の提出、検査拒否があった場合、1年以下の懲役または50万円以下の罰金となる。
さらに「使用人等に対する監督責任を怠った法人等に対する罰則」が決められている。
「法人の代表者、管理者、代理人、使用人等が違反行為をしたときは、その行為者とともに、その法人または事業主に対しても、罰金刑が科せられる」。マイナンバーがついた個人情報については、現行の個人情報保護法より厳格になっている。
米国で起きた大規模な行政職員の個人情報流出のような事態が、マイナンバー制度下の日本で発生するのは何としても防がなければならない。
企業は、従業員・アルバイトや個人取引先、株主などの税・社会保障関係の書類にマイナンバーをつけて関係機関に提出するために、その情報を一時、保管することになる。マイナンバー収集時や提出までの保管期間に安全管理措置を厳格に講じておかなければならない。
組織的安全管理措置のほか、人的、物理的、技術的各面での安全管理措置が義務付けられている。
「組織的安全管理措置」では、組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏洩事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直しなどの対応策、「人的安全管理措置」では、事務取扱担当者の監督、事務取扱担当者の教育などの対応策、「物理的安全管理措置」では、特定個人情報等を取り扱う(作業)区域の管理、(情報)機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏洩等の防止、個人番号の削除、機器及び電子媒体等の廃棄処分方法の具体策、「技術的安全管理措置」では、(指定された担当者しか作業できない)アクセス制御、(パスワードや生体認証などによる)アクセス者の識別と認証、(最新のウイルス対策ソフトの利用など)外部からの不正アクセス等の防止、情報漏洩等の防止の対策などがチェックポイントとして挙げられている。
ただ、中小企業などの過度な負担を軽減するため、従業員100人以下の中小規模事業者には特例が設けられている。
しかし、米国の行政職員人事情報の大量盗難の例に見るように、厳重な防御体制でもサイバー攻撃によるシステムへの侵入を完全には防げない、という認識が広がっている。マイナンバーを収集して事務に利用する行政関係機関では、特に、サイバー攻撃の標的になる恐れは否定できない。こうした事態に対応するため、民間企業では「秘密分散処理技術」を利用したセキュリティのソリューションが誕生している。
たとえば国産技術をベースにしたTCSI社の「秘密分散ソリューション」では、ファイルを一度暗号化した上に分割して分散保管する。分割した断片だけでは暗号が解けず、復元できないので、サイバー攻撃や従業員などがファイルから情報を盗みだしても、それだけでは無意味なゴミ信号に過ぎないので安全が保障できる。同社には自治体などからの問い合わせが殺到しているそうだが、こうした新技術の普及によって、サイバー攻撃からファイルを守ってゆくのも対応策の1つだろう。
技術的安全管理措置はまだ、進展する余地があるので、新サービスの情報に注意を払う必要がある。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization