「日本年金機構のような事態にはどの企業もさらされるリスクがあり、同じような結果につながる可能性が十分にある」。トレンドマイクロの上級セキュリティエバンジェリストである染谷征良氏はこう指摘する。
同社は2015年6月3日に、金融など各業種や官公庁、自治体の1340人を対象にインターネットで実施した「組織におけるセキュリティ対策 実態調査2015年版」の結果を公表した。そこから浮かび上がったのは、マイナンバー制度の施行を4カ月後の2015年10月に控え、セキュリティ対策が進んでおらず、改善する見通しが立っていないお寒い状況だ。
調査結果によると、法人組織で最低限必要と考えられる包括的なセキュリティ対策ができているといえるのは、業種別に見ると情報サービス・通信プロバイダーと金融のみだった。マイナンバー制度に伴うセキュリティの方向性を聞いた設問では、回答者全体で「何も決まっていない」が38.5%でトップ。「マイナンバー対応に伴いセキュリティの強化を進める」の割合は25.8%にとどまった(図)。
セキュリティ対策の評点が低いほど、何も決まっていない割合が圧倒的に増える。「現時点でセキュリティ対策ができていない企業は、マイナンバー制度対応に伴うセキュリティ対策でも消極的」(染谷氏)という。つまり、マイナンバー制度をきっかけに、セキュリティ対策の差はますます広がる。現状遅れている企業の多くは、改善しないままマイナンバーを扱うことになる。
プライバシー影響評価で「情報の棚卸し」を
さらに、調査には興味深い数字がある。従業員や顧客、取引先らの個人情報を守るには、どの部門でどんな情報を取り扱うのか把握する必要がある。こういった「情報の棚卸し」ができているかどうかについて聞いた設問に、「重要度に応じた分類が存在し、定期的に棚卸しができている」と答えた割合は全体で25.2%にとどまった。しかも、包括的なセキュリティ対策ができていない組織ほど、「できている」と答えた割合が減るという。
年金機構が見舞われた標的型攻撃や、ベネッセコーポレーションで発覚した内部犯行による情報漏洩のリスクへの対策として不可欠なのが、この情報の棚卸しだ。実はマイナンバー制度では、そのための手法として「特定個人情報保護評価(プライバシー影響評価)」という仕組みを用意している。
内閣官房でプライバシー影響評価の立案に携わった水町雅子弁護士によると、プライバシー影響評価では、マイナンバーを取り扱う従業員らを交えて、業務の全体像や個人情報の流れを図と文章で説明し、見取り図を示す。そこには、誰の個人情報をどこから入手して、どう利用し、どう外部提供や保管、消去をするのかという事実を記述する。「入手」「利用」「提供」「保管」「消去」という個人情報のライフサイクルごとに、リスクを挙げて対策を考える。これによって、業務にどのようなリスクがあって、リスクを防止するにはどんな対策が必要かについて、人ごとではなく自分のこととして検討できる。
マイナンバー制度で行政機関は、従来通り個人情報を分散管理する。だが、企業でマイナンバーにひも付けられるデータには、個人の所得や納税額、健康保険、扶養家族の情報が含まれ、12桁の番号だけで簡単に個人情報を名寄せできる。悪用されるリスクを防ぐ重い役割は企業にある。
