企業では、社会保険の手続や源泉徴収票の作成などを行う場合、従業員からマイナンバーの提出を受け、書類などに記載しますが、その管理は正しく行われているでしょうか?
マイナンバーは、個人の銀行口座や保険証と紐づけた利用がデジタル庁によって推進されているため、企業が取り扱う個人情報の中でも特に機密性の高い情報に相当します。いわば「究極の個人情報」ですから、厳密に守られなければなりません。
自分たちの会社はきちんと管理しているから大丈夫、と思っているかもしれませんが、本当に大丈夫か、再確認しておいたほうがいいでしょう。特に、マイナンバーを取り扱う人事・総務部のみなさんには、情報漏えいリスクからマイナンバーを守る責任があります。また、そのための法律もあり、これが守られていないと罰則が科せられる場合もあるので要注意です。
この記事では、
「企業でのマイナンバーの漏えいにはどのような事例があるのか」
「マイナンバーの漏えいはなぜ起こるのか」
「どうやったら未然に防げるのか」
「万が一漏えいしてしまったらどうしたらいいのか」
「マイナンバーの情報漏えいは法的な罰則があるのか」
といった、疑問にお答えします。
目次
1.企業におけるマイナンバー漏えいの事例
2016年にマイナンバー制度が開始されて以降、マイナンバーに関しては様々なトラブルが発生しています。
過去数年における企業や自治体におけるマイナンバーの漏えい事例をいくつかピックアップしました。
たとえば
「企業が第三者による不正アクセスを受け、マイナンバーを含む個人情報が漏えいした可能性がある」
「医療組合や自治体が入力や操作を誤ってマイナンバーを別人の保険証や銀行口座と紐づけしてしまった」
「自治体職員がマイナンバーを含む個人情報を外部に転送した」
「自治体から住民情報のデータ管理に関する委託を受けた事業者が許可なく別の事業者に再委託した」
「マイナンバーカードを使ってコンビニで住民票を発行する際に別人のものが出てきた」
などです。
その一部を表にまとめました。
<企業や自治体におけるマイナンバーの漏えい事例>
これらはほんの一例ですが、個人情報保護委員会*が2022年末に公開した年次報告によると、2017年度から2021年度までの5年間で少なくとも約35,000人分に上るマイナンバー情報が紛失や漏えいしたという報告が企業や行政機関からあがってきたというデータがあります。
* 個人情報保護委員会とは、個人情報(特定個人情報を含む)の有用性に配慮しつつ、個人 の権利利益を保護するため、個人情報の適正な取扱いの確保を図る ことを任務とする、独立性の高い機関です。個人情報保護法及びマイナンバー法に基づいた業務を行っています。
こうしたマイナンバー漏えいの事例をもとに、その原因について2章で詳しく見ていきましょう。
2.マイナンバーの漏えいが起こる5つの主な原因
企業や自治体などの組織においてマイナンバー漏えいが起こる原因は、主に、1)サイバー攻撃、2)人的ミス、3)内部脅威、4)コンプライアンス上の問題、5)システム上のトラブル の5つが考えられます。
2-1. サイバー攻撃
サイバー攻撃は、マイナンバー漏えいの大きな原因のひとつです。不正アクセスやマルウェアなど、サイバー攻撃によりマイナンバーを含む個人情報が流出することもあります。
2023年6月にはクラウドサービス事業者のエムケイシステムが、社労士向けサービスを提供しているデータセンター上のサーバーにランサムウェアによる第三者からの不正アクセスを受けたことを発表。サーバーがダウンし、復旧までに約1ヶ月かかったことで多くの顧客に被害を与えてしまいましたが、「マイナンバーについては高度な暗号化処理を施しており、今回の流出の恐れがある情報範囲には含まれておりません」と明言しており、適切な対策がなされていたことが伺えます。
2-2. 人的ミス
人的ミスも、情報漏えいのよくある原因の1つと言えます。
たとえば、事例の表に挙げたように、マイナ保険証に別人の情報が紐づけられていたケースでは、健康保険を運営する組合などが加入者の健康保険証とマイナンバーカードをひも付ける際に入力を誤ったことなどが原因とされています。
また公金受取口座に別人の情報が登録されていたケースでは、自治体窓口が「マイナポイント事業」で使用している専用サイトで登録を済ませた後、ログアウトしないまま手続きを続けたため別の人のマイナンバーに口座が登録されたことが原因でした。
このほかにも
「マイナンバーを含む個人情報を、メールで間違った宛先に送信してしまった」
「マイナンバーを含む個人情報を印刷して、そのままプリンタやデスクに置き忘れてしまった」
「マイナンバーを含む個人情報の入ったUSBメモリーを、居酒屋に忘れてしまった」
といったことも人的ミスの一例です。
2-3. 内部脅威
内部脅威とは、組織内部からの潜在的な脅威を指します。たとえば、従業員だけでなく元従業員や外部関係者など、組織にアクセス権を持つ者が、ダークウェブなどに他の従業員の個人情報を売ることで発生します。また、個人的な報復や詐欺の目的で情報を盗むこともあります。
1章の事例に挙げたうち、市職員が住民のマイナンバーが記載されたファイルを、自宅のパソコンにメールで送信していたケースは、規定違反だとわかっていながら意図的に行われたものとして、懲戒免職という処分が科されました。
2-4. コンプライアンス上の問題
コンプライアン意識が低かったために情報漏えいのリスクが発生したケースもあります。
国税庁がマイナンバーを含む個人情報を記載した源泉徴収票や支払調書などのデータ入力業務を委託していた企業が、無断で他の事業者に入力業務を再委託していたケースは、「人手不足で納期に間に合わなくなり承諾を得ずに再委託していた」と説明していますが、明らかな契約違反であり、意図的におこなわれたものです。
再委託を行った側もそれを受けた側も、コンプライアンス意識の低さ、情報漏えいに対する危機管理意識の欠如、情報セキュリティに対する認識の甘さ、組織的な管理体制の不十分さが露見してしまいました。
2-5. システム上のトラブル
マイナンバーカードを利用してコンビニで淳民表や印鑑証明書を交付する際にトラブルが多発しています。中には、マイナンバーを含む別人のものが交付されたケースもあり、不正利用される恐れを考えると重大な情報漏えいといえます。
1章の事例で挙げた川崎市のケースでは、コンビニ交付の稼働前から出張所などで証明書を交付する独自サービスを提供しており、これと連携するアドオンシステムに不具合があったことが判明しています。
また2023年3月27日に横浜市で発生した同様のトラブルについては、システムへのアクセス集中により印刷処理の待ちが生じた結果、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまった、とシステム開発事業者が説明しています。
他の自治体でも同様なトラブルが発生しており、マイナンバー漏えいの大きな原因のひとつとなっています。
3.マイナンバー漏えいを未然に防ぐため企業ができる5つのポイント
2章ではマイナンバーの漏えいが起こる5つの主な原因をご紹介してきましたが、3章ではこれを未然に防ぐために企業ができることを5つのポイントからご紹介します。
3-1. サイバー攻撃に対してできること
サイバー攻撃からマイナンバーを含む個人情報を守るには、どのような対策を講じたらよいのでしょう。重視すべきポイント4つをご紹介します。
- リスク低減のための措置
- インシデントの早期検知
- インシデント発生時の適切な対処・復旧
- バックアップ
3-1-1. リスク低減のための措置
まず行うべきなのは予防策です。サイバー攻撃の被害にあうリスクを最小化するためには、基本的なセキュリティ対策の実施、本人認証の強化、情報資産の把握など、リスク低減のための措置を講じましょう。
基本的なセキュリティ対策の実施
サイバー攻撃はシステムの脆弱性を狙って仕掛けられるケースが多々あります。これを防ぐには基本的なセキュリティ対策の実施が不可欠です。
- セキュリティソフトウェアやファイヤーウォールを導入する
- ソフトウェアやネットワーク機器を最新の状態にする
- 脆弱性が発見された際には、それを修正するための「セキュリティパッチ」を適用する
- メールやSMSの添付ファイルに注意し、従業員教育を行う
本人認証の強化
本人であることを認証するためのいくつかのステップを導入する必要があります。
- 単純なパスワードを使わない:推測しやすいパスワードを避け、複雑な組み合わせのパスワードを設定する
- 多要素認証の導入:以下の3タイプの要素のうち2つ以上を組み合わせて、認証を強化する
- アクセス権限を設ける:重要な情報にアクセスできる人を限定するなど、アクセス権限を設定する
情報資産の把握
第三者による不要なアクセスを防ぐには、既存の情報資産を把握することが重要です。
そのためには、
- 「顧客情報」「職員の個人情報」「職員のID/パスワード」「財務情報」「契約書」など、自社にどんな情報資産があるかを把握する
- これらの情報資産を、「誰がどのように管理するあ」「どの程度のセキュリティレベルで管理するか」などを把握し、適切に実行する
といったアクションが必要です。
3-1-2. インシデントの早期検知
何らかの情報セキュリティ上のインシデント(事件や事故の兆候)があった場合、できるだけ早くそれを検知しなくてはなりません。そのためには
- ログの確認
- 通信の監視・分析
- アクセスコントロールの再点検
などのアクションが必要です。
3-1-3. インシデント発生時の適切な対処
どのような予防策を講じていても、サイバー攻撃にあってしまうリスクをゼロにはできません。そこで、万が一インシデントが発生した際に備えて、具体的な対応の準備を整えておきましょう。
- インシデントに気づいたらまず何をするか
- どこに知らせるか
- 感染した端末はどうするか
といったことを時系列で決めておきましょう。情報セキュリティの管理体制も整え、関係者全員で確認しておくことが必要です。
3-1-4. バックアップ
もっとも重要なことはバックアップです。もしサイバー攻撃でデータが使えなくなっても、バックアップがあれば復旧することが可能だからです。
そのためには、
- 最適なバックアップソリューションを導入する
- 具体的な復旧手順を確認しておく
ことが必要不可欠です。
サイバー攻撃では、データがターゲットになるケースが多くあります。顧客情報などの重要データが盗まれたり、ランサムウェアで暗号化されて開けなくなったりということが起こり得るからです。データ更新の頻度に合わせて、◯時間ごと、あるいは1日1回、1週間に1回など、適切な頻度でバックアップします。
最近ではバックアップデータそのものが攻撃対象になるケースも出てきていますので、その対策も必要となります。
Arcserveでは、企業のデータを守るバックアップソフトやサービス、イミュータブルストレージなどを提供しています。
詳細は以下サイトをご覧ください。
Arcserve が選ばれる5つの理由
ランサムウェアに備えるバックアップ運用例とベスト プラクティス
情報漏えいは企業にとって大きな損害をもたらすリスクです。とりわけ、健康保険証や銀行口座とも紐づけられるマイナンバーは、個人情報の中でも取り扱いに注意が必要です。人的ミス、内部脅威、サイバー攻撃といった原因に対処するため、企業は継続的な監視と改善を行い、情報セキュリティを強化することが不可欠です。
こうした社内の体制作りや対策を自社だけで行うのは難しい場合もありますので、情報セキュリティやコンプライアンスに強く、マイナンバー関連の業務などにも詳しい、外部専門家への委託も検討してみるとよいでしょう。
★参考資料:
サイバー攻撃事例|日本での被害5例と主な攻撃の種類、対策を解説
ランサムウェア対策の切り札!安全で変更不可能なバックアップを解説
プロ3名が本気で考えるバックアップソフトの選び方最新究極ガイド
3-2. 人的ミスに対してできること
人的ミスに対して有効な対策は体制づくりと継続的な教育です。そのためにできることは以下の4点です。
- マイナンバーにかかわる事務責任者や担当者を設置し、その役割を明確化すること
- 情報漏えいなどの発生時における報告連絡体制を確立すること
- マイナンバーの取扱規定を設け、監督する体制を整えること
- マイナンバーの事務取扱担当者に対して定期的な教育を実施し、マイナンバーの正しい取り扱い方法を理解してもらうこと
担当の明確化と管理体制の徹底、そして担当者がマイナンバーの重要性と機密性を認識することで、人的ミスの軽減につながるでしょう。
3-3. 内部脅威に対してできること
内部脅威に対しては、厳密な安全管理を行い、マイナンバーの紛失・盗難といった物理的な情報流出を防ぐことが必要となります。特に重要な対策は4つです。
- 保管場所に施錠する(紙の場合)
- 暗号化やパスワードによって保護する(データの場合)
- 保管場所への入退室記録、情報へのアクセスログを残す(紙・データ両方)
- 廃棄は復元不可能な手段で行う(紙・データ両方)
マイナンバーは紙に記載されたものとデータで管理されているものの2種類があります。れぞれ安全に保管し、従業員の退職などでマイナンバーの保管期間が終了した場合は紙、データともに廃棄を徹底させましょう。
3-4. コンプライアンス上の問題に対してできること
企業が万ナンバーに関するコンプライアンス上の問題に対処するには、社内トレーニングによる意識向上と、適切な知識のスキルを持った管理者の育成が急務です。
マイナンバー制度には様々な規制があるため,経営者や担当部門だけでなく、従業員全員に至るまで制度を理解することが不可欠となります。そのためには継続的な社内トレーニングを実施し、従業員のセキュリティ意識やコンプライアンス意識の向上を図ることが大切です。
マイナンバーの厳密な管理を周知徹底できる人材の育成も必要です。マイナンバーに関する知識や実務スキルの習得に役立つ資格として、「個人情報保護士」や「マイナンバー実務検定」などがありますが、その中でも、管理・監督者向けに必須のスキルが学べる資格が「マイナンバー管理士」です。情報セキュリティ管理のためのノウハウと、マイナンバー法に対する深い知識と理解に裏打ちされたコーチング・スキルを習得した「マイナンバー管理士」が、個人情報を取り扱う部署に在籍していれば大きな安心につながるでしょう。
3-5. システム上のトラブルに対してできること
マイナンバーに関連したシステム上のトラブルに対しては、システム開発を担当する事業者による原因究明と十分なテスト、そして早期のシステム改修に期待するしかありません。
事態を重く見たデジタル庁は、システム開発を担当した事業者に対して、システムを一時停止のうえ、総点検するよう要請したほか、個人情報保護委員会からも、該当事業者およびトラブルのあった自治体に対して、個人情報保護法に基づく指導を行う方針とのことです。
以下は日経クロステックがまとめたシステムトラブルの一覧です。
2023年7月20日 日経クロステック記事より抜粋
4.万が一、マイナンバーの漏えいが起こった場合の対処方法
どんなに気を付けていても、マイナンバーの漏えいが起こってしまう可能性はゼロではありません。そこで、漏えいが発覚した場合に講ずべき措置をご紹介しましょう。
①社内関係者への報告
マイナンバー漏えいの可能性があると判明した時点で、即座に事業者内部の関係者に報告し、状況を共有します。3章でご紹介したように、マイナンバーにかかわる事務責任者や担当者を設置しその役割を明確化すること、そして情報漏えいが発生した時に備えて報告連絡体制を確立しておくことが重要です。
②被害の拡大防止
迅速に、さらなる被害の拡大阻止のための措置を進めなくてはなりません。いざという時に慌てないよう、事前に情報漏えい時にすべきことをリスト化し、マニュアルを作成しておくとよいでしょう。
③事実関係・原因・影響範囲の確認
どのような情報漏えいが起こったのか、原因は何か、漏えいした情報には何が含まれるのか、被害の対象となるのは誰か、想定される被害は何か、といった状況確認を行います。
④ 個人情報保護委員会への報告と本人への通知
個人情報保護委員会への報告、そして被害者である本人への通知を行う必要があります。個人情報保護委員会に対しては、まず発覚日から3~5日以内に速やかに報告、続いて30日以内に続報が必要です。報告用のフォームも用意されています。
マイナンバーが漏えいして不正に用いられるおそれがある場合は、マイナンバーの変更をお住いの市区町村に請求できることを、本人に説明するとよいでしょう。
<個人情報保護委員会への報告ページ>
上記の対応を迅速に行いつつ、再発防止策の検討を開始しなくてはなりません。また、社会的な影響の大きい事件の場合は、報道発表により顧客や株主などへの告知を行うことも検討しましょう。
5.マイナンバーの漏えい、責任は誰にあるのか?罰則は?
マイナンバーを漏えいした場合、責任の所在はケースバイケースですが、漏えいを引き起こした法人あるいは実際に行動を起こした従業員個人に対して「マイナンバー法(番号法)」違反による罰金が科せられます。
最も重い罰則は、「4年以下の懲役若しくは200万円以下の罰金又は併科」というもの。
個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供」した場合に適用されます。
ほかにも、
●マイナンバー関係事務担当者が自分の利益や他人の利益のためにマイナンバーを漏洩させた場合
●だましたり暴力を振るったりしてマイナンバーを強奪した場合
などに3年以下の懲役や150万円以下の罰金が科せられます。
これらの違反行為が社内で起きた場合は、それを実施した個人だけでなく、その管理者にも罰金刑が科せられます。
個人情報に関連した法律は2つあることを覚えておきましょう。
「個人情報保護法」と「マイナンバー法(番号法)」です。
個人情報保護委員会が策定した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」によると、マイナンバー(個人番号)が悪用された場合や漏えいした場合、個人の権利利益の侵害を招きかねないため、「マイナンバー法(番号法)」では「個人情報保護法」よりも厳格な各所保護措置が設けられています。
“個人情報保護法”
個人情報に含まれるのは、氏名や性別、生年月日、住所など、個人のプライバシーに関わる情報です。一方、それらの情報を活用することで、行政や医療、ビジネスなど様々な分野において、サービスの向上や業務の効率化が図られるという側面もあります。そこで、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的として2003年に制定されたのが、「個人情報保護法」(正式名称:個人情報の保護に関する法律)です。
“マイナンバー法(番号法)”
マイナンバー法は2015年に施行された比較的新しい法律で、マイナンバー(個人番号)や特定個人情報(マイナンバーを含む個 人情報)の取扱いについて、個人情報保護法の特例を定めているものです。健康保険や厚生年金保険、雇用保険などの社会保険の手続きに使われるため、企業は従業員のマイナンバーを取得し保管する必要があります。マイナンバー法では、マイナンバーの確認・保管・利用・破棄を正しく行い、特定個人情報を保護するための法律が記載されています。
まとめ
「企業が第三者による不正アクセスを受け、マイナンバーを含む個人情報が漏えいした可能性がある」
「医療組合や自治体が入力や操作を誤ってマイナンバーを別人の保険証や銀行口座と紐づけしてしまった」
「自治体職員がマイナンバーを含む個人情報を外部に転送した」
「自治体から住民情報のデータ管理に関する委託を受けた事業者が許可なく別の事業者に再委託した」
「マイナンバーカードを使ってコンビニで住民票を発行する際に別人のものが出てきた」
これらは最近起こったマイナンバー漏えいの事例です。
企業や自治体などの組織においてマイナンバー漏えいが起こる原因は、主に
1)サイバー攻撃
2)人的ミス
3)内部脅威
4)コンプライアンス上の問題
5)システム上のトラブル
の5つが考えられます。
これらに対して企業ができることについては下表をご参照ください。
そして万が一、情報漏えいが起きた場合は、
1)社内関係者への報告
2)被害の拡大防止
3)事実関係・原因・影響範囲の確認
4)個人情報保護委員会への報告と本人への通知
を徹底しましょう。
マイナンバーの情報漏えいには、それを起こした個人に対し、マイナンバー法に基づいて4年以下の懲役もしくは200万円以下の罰金もしくは両方、という罰則が設けられています。管理者にも重い責任が伴います。
個人がマイナンバーの漏えいを起こさないよう心掛けると同時に、組織としても起こさせない取り組みを継続していかなくてはなりません。
コメント