総務省や財務省が、マイナンバー制度（社会保障・税番号制度）に関連するシステムの調達に動き始めた。2016年1月には、行政機関でマイナンバー（個人番号）を使うシステムが稼働する。一般企業でも、税関連や健康保険事務などで従業員のマイナンバーの管理を義務づけられる。そこで改めて求められるのが、個人情報保護に対する企業の認識強化とセキュリティに対する従業員の意識強化だ。（取材・文／畔上文昭）

情報保護評価に追われる

　「自治体では、まだ住基ネット（住民基本台帳ネットワークシステム）のバグを修正している段階。マイナンバーなんてとんでもない」。地方の自治体に強いシステム開発会社の社長は、そう語る。これまでの住基ネットは利用範囲が限定的だったため、多少のバグは運用でカバーしてきたが、ほとんどの業務が関連するマイナンバー制度では、そのバグを放置しておくのは許されないというわけだ。ちなみにマイナンバーは住基ネットで使われている住民票コードから生成されるなど、マイナンバー制度と住基ネットは密接に関係している。

　ほとんどの自治体は、今、マイナンバー制度が庁内のシステムに与える影響度を調べる一方で、各システムがどの程度の個人情報を扱うのかを評価する「情報保護評価」（しきい値評価）に取り組んでいる。情報保護評価は今年度内に完了させるべき作業で、個人情報を扱うシステムにおけるその重要度の報告書をまとめ、第三者機関に判断を仰ぐことになっている。評価の結果によっては、さらなる報告書の作成などを余儀なくされる。そのため、年度内は情報保護評価の作業に追われるという状況にある。

　一方、国の行政機関では具体的な動きが出始めている。財務省は、8月15日、「共通番号管理システム」と「法人番号システム」を告示した。総務省は8月20日に「地方公共団体における情報連携プラットフォームに係る中間サーバー・ソフトウェアの設計・開発作業」を告示している。総額2700億円というマイナンバー制度関連の予算のうち、国の行政機関が主導する新規のシステム開発は350億円。内閣府が公開したロードマップによると2013年度内にシステム要件定義・調達が完了することになっていることからすれば、今後も同様の告示が次々と出てくるだろう。

セキュリティへの意識強化

　マイナンバー制度関連の動きが活発化するなかで、改めて強化したいのが「セキュリティに対する意識」である。非常に高度なセキュリティ対策に守られた住基ネットだが、肝心のシステムを使う職員にセキュリティ意識が乏しければ、そこから情報が漏えいしてしまう。今年10月、船橋市の職員が、ある女性の家族情報などを調べて複数の知人に情報を漏らすという問題が発覚した。稼働から10年以上経過している住基ネット。大規模な情報漏えいは確認されていないが、データへのアクセス権限がある者に悪意があれば、堅牢なセキュリティ対策も機能しないことを露呈した事件である。

　利用範囲が住民基本台帳業務に限られている住基ネットとは異なり、マイナンバー制度は住民情報を扱うほとんどのシステムが対象となる。多くの職員がマイナンバー制度にかかわるので、セキュリティに対する一層の意識強化が求められる。

　住基ネットの頃から制度への反対意見として「情報が芋づる式に取られてしまう」という懸念がある。これはマイナンバー制度でも必ず出てくる。公共機関に加えて民間企業でもマイナンバーを扱うだけに、その懸念は当然だ。ただし図1にあるように、各団体とのデータ連携にマイナンバーは使われない。使われるのは「符号」と呼ばれるシステム連携用の番号である。符号は団体ごとに異なっているうえ、表には出ないので、マイナンバーが他人に知られたとしても、個人情報を芋づる式に入手することは簡単ではない。


　なお、マイナンバー制度の導入に合わせて「住基カード」は廃止され、代わりに「個人番号カード」が発行される。住基カードには住民票コードが記載されていなかったが、個人番号カードにはマイナンバーが記載される。マイナンバーは公開情報ではないが、民間企業や金融機関で扱うことからも、住民票コードと比較すると公開情報に近い存在であるという見方もできる。

企業でのセキュリティ教育

　芋づる式にデータを入手することが難しいとはいえ、さまざまなシステムでマイナンバーを扱うのは事実。もし、情報が漏えいしてしまったら、大問題となるのは確実だ。マイナンバー制度に反対する声は根強く、一般的な個人情報漏えいよりも世間の耳目にさらされることになるだろう。

　そうしたなかで懸念されるのが、一般企業の対応だ。マイナンバーはすべての企業にかかわってくる。社員とその家族のマイナンバーを管理し、税金や年金、保険関連の事務で付番することが求められているからだ。しかし、実態はどうか。日本ネットワークセキュリティ協会（JNSA）によると、2012年上半期の個人情報の漏えい人数は123万9626人、件数は954件だった（表1）。漏えいの原因は、管理ミスが38.9％、誤操作が34.0％となっており、情報漏えいのリスクは内側にあることを示している（図2）。行政機関に比べれば扱う個人情報の絶対数は少ないものの、一般企業においても漏えいのリスクを把握しておくべきだ。



　個人情報保護法（個人情報の保護に関する法律）が全面施行された2005年4月1日の前後では、個人情報保護に関連する社員教育が盛んに行われた。これはセキュリティ対策を考える一つのきっかけとなったものの、5000人以上の個人情報をデータベースで管理しているなどの条件つきであったために、該当しない企業や部門では個人情報保護に対する教育は浸透しなかった。

　ところが、マイナンバー制度では、すべての企業がマイナンバーという個人情報を扱うことになる。個人事業主も例外ではない。個人事業主が経営する店舗でアルバイトを採用した場合、そのマイナンバーを管理しなければならない。

　マイナンバー制度には罰則が用意されていることも知っておくべきだろう（図3）。利用範囲が民間にも及ぶことから、罰則は住基ネットよりも重い。社員を犯罪者にしないためにも、しっかりした対応が求められる。大切なのは社員の教育である。


　マイナンバー制度のスタートに伴うセキュリティ関連の問題をとらえ、動き出したのが一般社団法人 日本個人情報管理協会（JAPiCO）だ。JAPiCOは一般財団法人 日本情報経済社会推進協会（JIPDEC）が認定するプライバシーマーク（Pマーク）と同様、JIS Q 15001（個人情報保護マネジメントシステム―要求事項）に適合したJAPiCOマークを認定している。公共機関などが入札で求める「プライバシーマークと同等」という場合の範疇に含まれる。JAPiCOマークはスタートして2年ほど経過しているが、組織強化など、本腰を入れたのは9月からだ。

　JAPiCOマークがユニークなのは、企業認証のほかに、個人向けの認証も実施しているところにある。企業がJIS Q 15001に対応していても、担当者だけが認定のための環境を整備している状態では、個人情報保護に対する意識が該当部署にまで行き届いているとは限らない。また、PマークやJAPiCOマークを取得するには、ある程度の資金が必要とされるので、中小規模の事業者には負担が大きい。　「多くの企業はセキュリティ対策ができる体制になっていない。そのため、JIS Q 15001に取り組む前の段階として、個人情報保護に取り組むための人材を育てようと考えて、個人を対象にした個人情報保護管理士の育成と認定を実施している。こうした人材が企業に戻って、セキュリティ対策を推進するための体制づくりを担ってほしいと考えている」と、JAPiCOマークの認定機関である日本個人情報管理協会（JAPiCO）の内山和久専務理事は語る。

　もちろん、資格を取得すればセキュリティを確保できるというものではない。しかし、セキュリティ対策において、マイナンバーを扱う社員が個人情報保護の認定を受けているというのは、大きな意識づけになりそうだ。

[次のページ]