禁錮4年も?実は違反すると結構大変なマイナンバー制の恐ろしさ

※本原稿は、Business Journal2015年10月1日号に掲載されました。

 

2015年9月3日、衆議院本会議で改正マイナンバー法が成立した。

マイナンバー制度は、国民全員に12桁の番号を割り振り、社会保障や納税に関する情報を一元的に管理する制度だ。ちなみに、マイナンバー法の正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」。10月から国民への通知が始まり、来年1月から行政手続きでマイナンバーを活用することになる。

国民の個人情報を政府が管理することに対する反対意見も根強い。今年5月に発生した日本年金機構の個人情報流出事件で、国の管理体制に対する不安が増大した。そのため、今回の改正マイナンバー法では、マイナンバーと基礎年金との連結を見送った。

そもそも「マイナンバーとは何か」という国民に対する周知も不十分である。それ以前に、マイナンバーの厳重な管理義務が発生する企業の理解も進んでいない。

特定個人情報の取り扱いに注意!

そこで、経営者向けeラーニングスクール「ウィズダムスクール」 で、マイナンバーの対策講座の講師を務める株式会社 スマイルワークス 代表取締役社長で、一般社団法人クラウドサービス推進機構理事の坂本恒之氏に、マイナンバーについて知っておくべきことを聞いた。

–マイナンバー制度がいよいよ運用開始となりますが、坂本さんは「企業の理解が進んでいない」と指摘されています。特にどのようなことが理解されていないのでしょうか。

坂本恒之氏(以下、坂本) マイナンバー制度の告知は、遅ればせながら徐々に進んでいます。ただ、マイナンバー制度は、すべての事業者に対して「特定個人情報」の取り扱いに関するかなり厳格な管理を求めています。さらに、これまで個人情報保護ではなかった厳しい刑事罰(最大禁固4年、執行猶予なし)が規定されています。しかし、具体的な対応策がほとんど伝わっていないと感じています。

–禁固4年ですか。そんなに厳しいとは知りませんでした。私も会社の経営者ですが、まったくその理解はありませんでした。

坂本 それだけ政府がマイナンバーの保護を本気で重視する姿勢であるということでもありますが、一方でまだまだ企業側では具体的な対応策が見えていないように思います。マイナンバーは、一人でも役員・従業員がいれば対象となります。またパート、アルバイトなどの短期雇用者や、講師・デザイナーなど個人事業主への発注が多い会社でも、マイナンバーの管理義務が発生します。

つまり、日本国内の大半の企業に、マイナンバーの管理義務が発生するということになりますが、その重要性が認識されているとはいいがたい現状です。

–経営者にとって、今後の経営にも大きな影響が出てくる問題ですね。これほど重要なことが十分に周知されているとはいえません。マイナンバーの管理に関して、もっと詳しく教えてください。

坂本 マイナンバーは、定められた行政手続き以外での利用が禁止されています。たとえば、マイナンバーを社員番号やパソコンのIDに使うことなども法令違反となります。これは、仮に本人の同意があってもダメです。ここが従来の個人情報保護法と異なる点です。

また、従業員とその扶養家族、短期雇用者や発注先の個人事業主から取得したマイナンバーは、法廷で定められた社内の「取扱責任者及び担当者」以外に閲覧や管理をさせてはいけないことになっています。大変厳しいルールです。情報管理のノウハウがない多くの中小零細企業では、「どのようにマイナンバーを運用管理すればよいのかわからない」と困惑する声が多く上がっています。

情報漏洩への備え

–否が応にも、経営者にとってマイナンバーへの対応は必須となりますね。経営者へ刑事罰が及ぶ恐れもありますし、情報漏洩などのリスクは最小限に抑えたいところです。どうすれば、リスクを抑えることができるのでしょうか。

坂本 いわゆる「リスクマネジメント」は、問題が起こらないように事前に対処することを指しますが、いくらコストや手間をかけても事前にリスクを100%排除することはできません。重要なのは、仮に問題が起こっても組織として責任を問われない対処をすることです。これを「クライシスマネジメント」といいます。

昨年7月に発覚したベネッセコーポレーションの個人情報漏洩問題で、ベネッセは社会的に大きな批判を受けましたが、実は会社組織自体に対して行政処分はありませんでした。

ベネッセは、個人情報をデータセンター上で管理し、アクセス権を持つ人員を限定していました。そしてデータへのアクセス履歴(ログ)は、アクセス権限者が勝手に操作できないよう別サーバへ自動保存していました。この厳格な管理によって、内部犯行であることが立証され、犯人の契約社員が逮捕されました。行政側はベネッセに対して「組織としては適切に対処していた」と判断し、組織の責任は問わなかったのです。ベネッセには情報管理に対する可監査性(オーディタビリティ)があったといえます。

このように「適切なデータ管理」「アクセス権の管理」「利用履歴の保存」などをしっかり行っておけば、仮に何か問題が起こった場合でも、組織としての管理責任を免れる可能性は高いのです。

–ベネッセが組織としての責任をほとんど追及されていなかったことは、あまり知られていない事実です。ところで、責任を回避できた原因であるオーディタビリティについて説明してください。

坂本 問題の原因や経路を確認できることを、「オーディタビリティがある」といいます。

–大企業であればオーディタビリティを整えることができると思いますが、中小企業ではコスト面も含めて取り組むのが難しいのではないでしょうか。

坂本 クラウドを活用することでリスクを最小限にし、低コストで運用することができます。多くの企業が、いまだに社内のパソコンやサーバで個人情報を管理しています。ローカル、つまり社内にあるパソコンやサーバに保存しておけば安心という考えからでしょうが、ところが今やローカルでの情報管理が最もリスクが高いのです。

事実、最近の情報漏洩事件のほとんどが、ローカルからの流出です。日本では「クラウドはセキュリティが不安」「データがなくならないか不安」という話をよく聞きますが、実際にはクラウドのほうがローカルよりもはるかにセキュリティが高い管理をすることが可能です。

情報管理はクラウドがもっとも安全?

–年金機構の情報漏洩もありましたが、それは中国からのサイバー攻撃だとの見方もありますね。

坂本 中国からとは断定できません。攻撃者は自分を特定されないように複数のサーバを経由して攻撃するのが定石です。特に中国のサーバは脆弱なものが多いため、“踏み台サーバ”として使用された可能性もあります。

最近では、データセンターを狙うのは攻撃者にとって割に合わない方法となっています。データセンターには、攻撃者を攻撃するプログラムが装備されていることを攻撃者も知っているため、犯罪のプロはデータセンターを狙わないのです。

これは最近、銀行強盗を見かけなくなったことに似ています。銀行強盗がなくなる代わりに、銀行からお金を引き出すことができる人(主に騙しやすい老人)を狙った詐欺が増えています。同様に、データセンターへの攻撃の代わりに、脆弱な個人のパソコンを狙って大量のスパムメールを送り、ウィルスに感染させて乗っ取ります。そしてパソコン内にある重要情報を抜き取る事件が多くなっています。年金機構もこのパターンです。

今、狙われているのは社内(ローカル)にあるパソコンです。攻撃者にとっては騙しやすく成功の確度が非常に高いためです」

–一般的に、パソコンにはウィルス対策ソフトも入っていると思いますが、それでは防げないのでしょうか。

坂本 アンチウィルスソフトのウィルス検知率は45%といわれています。逆にいえば、55%は防ぐことができないのです。現在は一日に20~30万件の新種ウィルスやマルウェアが生まれています。それらをすべて追いかけるのは物理的に不可能です。

–なるほど。マイナンバーに限らず、重要データは社内のパソコンなどのローカル環境ではなくクラウドを活用したほうが有効そうですね。クラウドを活用する方法としては、具体的にどんな方法がありますか?」

坂本 クラウドでの情報管理というと、「Dropbox」や「Evernote」など個人向けのクラウドサービスをイメージすることが多いと思いますが、現在注目されているのは企業向けのエンタープライズクラウドサービスです。

エンタープライズクラウドサービスでは、サイバー攻撃されても攻撃者を逆探知したり、迎撃する仕組みを導入しています。通信はすべて暗号化し、保存されたデータそのものも暗号化するものが多いです。そのため、仮にデータが第三者に抜き取られた場合でも、重要情報が洩れる危険は極めて小さくなります。

またクラウドでは、すべてのログが外部から改竄できない仕組みになっています。万が一何か問題があった場合でも、ベネッセのように「組織としての責任」を担保することが可能になります。

手前味噌で恐縮ですが、弊社の「ClearWorks」を例に、現在主流となってきているクラウド型管理の仕組みをご説明します。ClearWorksでは、マイナンバーを本人が直接データセンターに暗号化して登録します。画面上のマイナンバーはすべて伏せ字になっていますので、マイナンバー取扱責任者であっても見ることができません。仮に画面を覗かれたり、画面を写真で取られてもマイナンバー情報は漏洩しません。印刷もマイナンバーはブランク(空白)になります。

操作のすべてがログとして保存されます。7年の法定保存期間が経過したマイナンバー情報は、自動的に抽出してアラートを出してくれます。削除しても、法定の「削除記録を残して物理削除」を実行してくれます。これで政府のガイドラインで規定しているすべての安全管理措置がクリアできます。

これまで大企業でしか利用できなかったデータセンターでの管理が、クラウドサービスによって中小零細企業でも簡単に、そして非常に安価に利用できるようになってきました。

「クラウドは不安」は過去のこと、今はクラウドが安全

–マイナンバー法を契機に、企業によるクラウドの活用が増えていくということですね。

坂本 間違いなくそうなるでしょう。特に中小企業では情報管理やシステムにかけられる費用や要員が少ないですから、クラウド活用という選択肢が現実的です。

クラウドによる情報管理の信用性は年々高くなっています。弊社のクラウドサービスは、日経BP社が発表する「クラウドランキング」の汎用業務系部門で5回連続「ベストサービス」となり、サービスの信頼性及びセキュリティともに1位の評価を頂きました。

「クラウドは不安」というのは昔の話となりました。弊社サービスに限らず、マイナンバーの管理にはクラウドサービスの活用がもっとも有効かと思います。

–大変参考になりました。最後に、ウィズダムスクール校長の榎本恵一氏にも質問いたします。榎本氏は税理士でもあり、会計事務所も運営されています。マイナンバーの実施により、会計事務所の運営にも影響が出ると思います。その点はいかがでしょうか。

榎本恵一氏 はい。まさにその通りです。会計事務所は必然的に顧問先のマイナンバーを管理することになります。管理義務に関しては、中小零細企業には緩和措置がありますが、会計事務所は中小規模でも個人事務所でも緩和措置がなく、厳格さが求められます。

とはいえ、一般的な会計事務所では昨今の不景気で顧問料が減少傾向にあり、コストをかけることができず、そもそもリテラシーも足りません。会計事務所でも、今後はクラウドを活用したマイナンバー管理がメインになっていくでしょう。

顧問先に対するオーディタビリティの教育も重要です。会計事務所の先生方の負担を軽減させるために、ウィズダムスクールでもマイナンバーに対する講座を増やしていきたいと考えています。マイナンバーの厳格管理という役割が増えたことで、会計事務所にとって、まったく新しい時代に入ったといえるでしょう。

–ありがとうございました。

目次(ビジネスのケーススタディ)に戻る