PowerPoint プレゼンテーション

エムオーテックス株式会社

2015.03

マイナンバー制度における

1．マイナンバー制度と情報漏えいについて

2．マイナンバー対策としてのLanScope Catのご紹介

- 組織的安全管理措置の対策

- 技術的安全管理措置の対策

マイナンバー制度と

情報漏えいについて

個人番号

特定個人情報

利用範囲

個人情報保護

社会保障

税

災害対策

2016年1月からマイナンバー制度が開始されます。

社会保障・税番号（通称：マイナンバー）制度」は、すべての個人に対し

て

12桁の一意の個人番号

を割り当て、複数の機関に存在する個人情報を紐

付けて、各機関間での情報連携を可能とする制度です。利用範囲は「社会

保障」「税」「災害対策」の行政手続きに限定され、個人番号は個人情報

保護の対象になります。

マイナンバー制度の概要

マイナンバー制度はすべての企業で対応が必要です。

個人の

所得が発生するところ全て

に個人番号を業務利用する必要がありま

す。例えば、企業が社員に給料の支払いをするときには、社員の個人番号

を集めて、「給与支払報告書」に記載のうえ、社員の住む地方公共団体に

提出しなければなりません。

個人番号を取り扱う主な業務

所得税の源泉徴収

住民税の特別徴収

社会保険料の支払・事務手続き

法定調書の提出

民間企業における主な関係部門

総務部

人事部

経理部

情報システム部

個人番号に関わる業務を委託・受託する

部門や個人との取引がある部門も関係部

門になる場合があります。

マイナンバー制度の対応

123456789012 000001 田中一郎 100-0000 東京都千代田区○○町1-2-3 代表取締役 3/10/1960 *********** 000002 ○○○○ ***-**** ●●●●●●●●●●●● XXXXX △△△△ **/**/**** *********** 000003 ○○○○ ***-**** ●●●●●●●●●●●● XXXXX △△△△ **/**/**** *********** 000004 ○○○○ ***-**** ●●●●●●●●●●●● XXXXX △△△△ **/**/**** *********** 000005 ○○○○ ***-**** ●●●●●●●●●●●● XXXXX △△△△ **/**/**** *********** 000006 ○○○○ ***-**** ●●●●●●●●●●●● XXXXX △△△△ **/**/****

マ イ ナ ン バ ー

社　　　員　　　名　　　簿

役 職 名

生 年 月 日

社 員

コ ー ド

氏 名

〒

住 所

所 属 部 課

個人番号を含んだ個人情報が保護対象になります。

個人番号を含んだ個人情報が

「特定個人情報」

と呼ばれ、保護対象になり

ます。たとえば、従業員の氏名、性別、生年月日、住所などの「個人情

報」と 「個人番号」を組み合わせた情報が「特定個人情報」です。

特定個人情報

安全管理措置対象

個人情報

個人番号

マイナンバー制度の安全管理措置対象

特定個人情報の漏えいには厳しい罰則が課されます。

番号法は個人情報保護法と比較して違反行為に対しての罰則が強化されて

います。例えば、従業員が特定個人情報を不正に漏えいした場合は、以下

の罰則が課される場合があります。

・「従業員個人に4年の懲役・200万円の罰金刑」

・「所属企業には200万円の罰金刑」

個人情報保護法

番号法

対象

個人情報（個人データ）を5,000件以上保有する企業 全ての事業者

第三者への

情報提供

本人同意があれば可

本人同意があっても原則禁止

情報の廃棄

規定なし

保存期間後は廃棄・削除が必要

故人の情報

保護の対象外

保護対象

刑事罰

６ヶ月以下の懲役３０万以下の罰金など

■違反者

4年以下の懲役又は200万円以下の罰金又は併科など

■違反者の使用者

200万円以下の罰金

罰則規定

マイナンバーの情報漏えい対策のポイント

「保管」「利用」「提供」での漏えい対策が重要です。

従業員から個人番号を預かる「取得」から、従業員の退職時に保管してい

た個人番号を削除する「廃棄」まで適正な取扱が必要です。特に保管、利

用、提供のフローで情報漏えいリスクが高まります。

特定個人情報

ファイル

人事・給与システム

保管

利用

破棄

取得

提供

資格取得届

ーーーーー

ーーーーー

源泉徴収表

ーーーーー

ーーーーー

権限がない人

が

不正をできないように。

権限がある人

が

不正をしないように。

最も効果的な情報漏えい対策は「操作ログの取得」。

内部からの有効な情報漏えい対策

※１ 内部不正への気持ちが低下すると回答した回答者の割合。 （社員:n=3,000）

情報処理推進機構（IPA）「組織内部者の不正行為によるインシデント調査」

内部要因の情報漏えい対策は「操作証拠が残る」「操作が監視されてい

る」「違反すれば処罰される」「ID･パスワードの管理徹底」が、不正行為

の抑止力として有効です。

順位

割合※1

内容

1位

54.2% 　

社内システムの操作の証拠が残る

2位

37.5% 　顧客情報などの重要な情報にアクセスした人が監視される

3位

36.2% 　これまでに同僚が行ったルール違反が発覚し、処罰されたことがある

4位

31.6% 　社内システムにログインするためのIDやパスワードの管理を徹底する

5位

31.4% 　顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する

従業員の内部不正の意識が低下する対策

特定個人情報の安全管理措置

一部の安全管理措置はシステムでの対応が必要です。

特に｢取扱規程などに基づく運用｣｢外部からの不正アクセス等の防止｣のガ

イドラインは情報漏えい対策に有効な操作履歴の取得が含まれます。

組織的

安全管理措置

人的

安全管理措置

物理的

安全管理措置

技術的

安全管理措置

○ 組織体制の整備

○

取扱規程等に基づく運用

○ 取扱状況を確認する手段の整備

○ 情報漏えい等事案に対応する体制の整備

○ 取扱状況の把握及び安全管理措置の見直し

○ 事務取扱担当者の監督

○ 事務取扱担当者の教育

○ 特定個人情報等を取り扱う区域の管理

○ 機器及び電子媒体等の盗難等の防止

○ 電子媒体等を持ち出す場合の漏えい等の防止

○ 個人番号の削除、機器及び電子媒体等の廃棄

○

アクセス制御

○

アクセス者の識別と認証

○

外部からの不正アクセス等の防止

○

情報漏えい等の防止

マイナンバーの情報漏えい対策の住み分け

人事・給与システムと情報漏えい対策ツールの役割。

マイナンバーの情報漏えい対策は、守るべきデータが人事・給与システム

内にある場合と、外にある場合の２つの観点で考える必要があります。

データ単体に対しての対策は、情報漏えい対策ツールでカバーする範囲に

なります。

特定個人情報

ファイル

人事・給与システム

CSVデータ

ーーーーー

ーーーーー

帳票データ

ーーーーー

ーーーーー

人事・給与システムでの対策

情報漏えい対策ツールでの対策

マイナンバーの情報漏えい対策の住み分け

人事・給与システムとIT資産管理ツールの役割。

マイナンバーの情報漏えい対策は、守るべきデータが人事・給与システム

内にある場合と、外にある場合の２つの観点で考える必要があります。

データ単体に対しての対策は、情報漏えい対策ツールでカバーする範囲に

なります。

求められている要件

人事・給与

_システム

IT資産管理

_ツール

組織的安全管理措置

取扱い規定等に基づく運用

○

○

技術的安全管理措置

アクセス制御

○

-

アクセス者の識別と認証

○

-

外部からの不正アクセス防止

-

○

情報漏えい等の防止

○

-

個人番号の運用状況把握は「ログの収集」が必要。

組織的安全管理措置「取扱規程などに基づく運用」でのシステム対応領域

組織的安全措置の「取扱規程などに基づく運用」では、PCの操作履歴記録、

外部デバイスの利用や持出し、業務システムのログイン実績の記録が明記

されています。

情報システムの利用状況

（ログイン実績、アクセスログ等）記録

特定個人情報ファイルの

利用・出力状況の記録

媒体等の持出しの記録

特定個人情報ファイルの削除・廃棄記録

ファイルの利用や印刷などの

操作ログ取得。

CD/DVDやUSB等の接続と

ファイル書き出しのログ取得。

ファイル削除のログ取得。

基幹業務システムなどへの利用ID管理、

アクセスログの取得機能。

求められている要件

必要な機能

適切なインフラの整備とログの分析も必要です。

技術的安全管理措置「外部からの不正アクセス等の防止」でのシステム対応領域

「外部からの不正アクセス等の防止」では、機器の不正アクセス対策、ソ

フトウェアの状態把握と利用制限、定期的なログ分析が明記されています。

定期的なログ分析

不正アクセスの検知と遮断

不正ソフトウェアの有無の確認

ソフトウェア等を最新状態とする

持ち込み機器等のネットワーク接続の

検知、遮断。

インストールアプリケーション情報の

自動取得、利用制限。

業務システムやウイルス対策ソフト等の

バージョン管理。

取得したSW情報や不正アクセス、PC操

作履歴から、課題を定期的に分析。

求められている要件

必要な機能

マイナンバー対策としての

LanScope Catのご紹介。

PCの情報や操作ログを取得することで、

現状のリスクを把握できます。

リスクへの適切な対策を打つことで、

問題発生を未然に防ぎます。

万が一問題が発生しても、データの

流れをトレースし原因を特定できます。

LanScope Catのコンセプト

LanScope Catは、情報漏えい対策の課題を解決します。

組織的安全管理措置の対策

・特定個人情報ファイルの利用・出力状況の記録

・媒体等の持出しの記録

・特定個人情報ファイルの削除・廃棄記録

・情報システムの利用状況

（ログイン実績、アクセスログ等）記録

内田さんが

夜勤している

点けっぱなし

を発見！

お昼休憩は

みな１時間

誰がどのPCをどのように使っているかが分かります。

組織的安全管理措置：特定個人情報ファイルの利用・持ち出し・削除の記録

個人番号データ

を印刷！

デスクトップ

にコピーして

名前変更して

USB持出し

２ちゃんねる

YouTube！

内田さんが

防犯カメラの役割で効率を下げずにセキュリティ向上。

組織的安全管理措置：特定個人情報ファイルの利用・持ち出し・削除の記録

ファイル追跡機能で、万が一の際も原因を特定できます。

スマートフォン

USBやCDなどのデバイス利用を制御できます。

各PCに対してスマートフォンはもちろん、CD/DVD、FD、USB接続機器、

などへの「読み書き禁止」「書き込みのみ禁止」設定が個別に可能です。

さらに禁止・制限の状態の中から、例外的に許可するデバイスの設定が可

能なので、業務効率を落とすことなく適切な管理ができます。

組織的安全管理措置：特定個人情報ファイルの利用・持ち出し・削除の記録

村井さんの

PCで

複数システムへのログイン履歴を一元管理できます。

組織的安全管理措置：情報システムの利用状況

ｍuraiの

ユーザーで

会計システムに

でログイン

Murai_y

ログイン時の入力内容を取得します。

組織的安全管理措置：情報システムの利用状況

OBC・PCA製品のログインID監査も動作検証確認済み。

メーカー名

パッケージ名

アプリID監査ログ取得

株式会社オービック

ビジネスコンサルタント

人事奉行i8 2.12

○

給与奉行i8 2.12

○

法定調書奉行i8 2.12

○

ピー・シー・エー株式会社

PCA給与X

○

PCA人事管理X

○

PCA給与X クラウド

○

PCA人事管理X クラウド

○

導入効果

企業名 株式会社ライフコーポレーション様

設 立 1910年 従業員数 20,969名（2014年2月現在）

構 成 Cat 4000CL ・ Webアクセス 4000CL

デバイス制御 4000CL ・ ID監査4000CL

メール管理 4000CL

≪導入効果≫

アプリケーションID監査機能で、システムログイン

情報を把握し不正操作・情報漏えいを防ぐ体制が

確立できた。

≪導入背景≫

社内で使用するシステムが年々増えていく中、

社内セキュリティ対策を更に強化し各システムへの

ログイン状況/利用状況を徹底管理する必要性があった。

導入事例

：システムへのログインID管理

技術的安全管理措置の対策

・不正アクセスの検知と遮断

・不正ソフトウェアの有無の確認

・ソフトウェア等を最新状態とする

・定期的なログ分析

許可したPC以外のネットワーク接続を検知、遮断し、私物の持ち込みPCな

どからの情報漏えいやウイルス感染の危険を回避することができます。

ネットワーク上の機器を検知し、不正接続を遮断します。

Winnyやゲームなどの業務外アプリを

EXE単位で禁止し、リアルタイムに管理

者にE-Mail通知できます。

インストールアプリの確認と不正アプリを制御できます。

技術的安全管理措置：不正ソフトウェアの有無の確認

Winny.exe

為替トレードソフ

トが入っている！

更新プログラムやアンチウィルスの更新状況を把握。

技術的安全管理措置：ソフトウェア等を最新状態とする

未適用更新プログラムなどを一斉配布し

ソフトウェアを最新の状態にできます。

更新プログラムが全

て適用されている！

違反操作だけの定期的なチェックを簡単にできます。

セキュリティリスクをリアルタイムに可視化し、適切なセキュリティ監査

体制の構築が可能です。

技術的安全管理措置：定期的なログ分析

アイコンの有無を

Checkするだけ

なので

簡単に運用できる！

東京本部は

違反が多い！

名古屋支店は

残業が多い！

アプリのインストールやPC環境変更

Winnyやゲーム等の禁止アプリの起動

大量印刷や機密情報の印刷

機密フォルダへのファイル操作

USB・スマホ等へのデータ書き込み

業務時間外の早朝操作

大阪本社は

違反なし！

マイナンバー制度における