• 検索結果がありません。

この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です

N/A
N/A
Protected

Academic year: 2021

シェア "この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です"

Copied!
18
0
0

読み込み中.... (全文を見る)

全文

(1)

マイナンバー制度と情報セキュリティ対策について

ジェイズ・ソリューション株式会社

2015年9月1日

(2)

この資料は

「マイナンバー制度」実施にともない企業(事業者)が

行われることをご紹介し

情報セキュリティ対策や罰則についての誤った情報のた

め過大な準備をされることがないようお伝えし、

その上で、「なりすまし」犯罪等防止

のため自社に応じたムダの少ない情報

セキュリティ対策を検討されるための

資料です

(3)

もくじ

1.

「マイナンバー制度」とは (1)マイナンバーについて事業者が行うこと (2)「マイナンバー制度」を知るための情報 (3)誤った情報で過大なマイナンバー対策を行わないために 2. マイナンバーと情報セキュリティ対策 (1)個人番号、個人情報の情報漏えいリスクとは 3. 情報漏えいが生じる要因と対策 (1)情報漏えいが生じる要因 (2)情報漏えい対策 4. 3つの情報セキュリティ対策 (1)マイナンバー(個人番号)と社員の個人情報に絞った保管サービス (2)自社で設備を導入し運用体制を整えて情報漏えい対策を講じる方法 (3)情報セキュリティサービスを提供する会社を活用する方法

(4)

1.「マイナンバー制度」とは

マイナンバーは下記に関連する個人情報をつなぐ

ため国が決めた個人番号です

マイナンバー制度は公平な税制(金融資産情報、

所得情報一元化を含む)や公正な社会保険制度

(社会保障費用の重複やムダを減らす)と災害時

の住民情報対策のため、

国民全員に1つの番号を付与し目的を実現する制

度です

マイナンバー

所得

年金

健康保険

医療

介護保険

雇用保険

金融資産

(5)

(1)マイナンバーについて事業者が行うこと

事業所は社員から個人番号(マイナンバー)の提示を受け確認し、社会保険、源泉徴収税等の手続

き、報告に個人番号を記載して提出します このため、個人番号を保管します

行うことは これまでの人事等事務に少し事務が加わるだけです ご安心ください

税務署・市町村

年金事務所・健康保険組合・ハローワーク

源泉徴収税報告等

社会保険資格取得・喪失届(含む扶養家 族)

社会保険算定基礎・月変届

事業所

個人番号を保管、届出等に使用、訂正、利 用停止等 退職従業員の個人番号を廃棄(原則保管 しない) 従業員と扶養家族の個人番号を取得(提 示を受け、番号と身元を確認、登録)

従業員の扶養家族届受付

個人(社員等)

(6)

(2)「マイナンバー制度」を知るための情報

「マイナンバー制度」の目的、概要の説明は各所から情報が提供されています 国の担当機関(特定個人情報保護事務局)から出されている主な資料は次のとおりです *マイナンバー制度:2015年10月以降に「番号の通知」が行われ、2016年1月から実施 内閣官房のホームページ :http://www.cas.go.jp/jp/seisaku/bangoseido/index.html 公式twitter :https://twitter.com/MyNumber_PR コールセンター :0570-20-0178 「ここがポイント マイナンバーガイドライン(事業者編)」 特定個人情報保護事務局作成 http://www.ppc.go.jp/files/pdf/270213shacho.pdf#search='%E3%83%9E%E3%82%A4%E3%83%8A% E3%83%B3%E3%83%90%E3%83%BC%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82 %A4%E3%83%B3' 「中小企業向けはじめてのマイナンバーガイドラインーマイナンバーガイドラインを読む前に」 特定個人情報保護事務局作成 http://www.ppc.go.jp/files/pdf/270213chusho.pdf#search='%E7%95%AA%E5%8F%B7%E6%B3%95+ %E4%B8%AD%E5%B0%8F%E4%BC%81%E6%A5%AD'

(7)

(3)誤った情報で過大なマイナンバー対策を

行わないために

「マイナンバー情報保護のため情報セキュリティ対策を講じないと罰則がある」のではとお聞き

したことがありますが、個人番号法(行政手続における特定の個人を識別するための番号の

利用等に関する法律)や国のガイドライン(3.「マイナンバー制度」を知るための情報 参照)

を読ませていただく限りそのような記載はありません。

個人番号法に

1.正当な理由なく特定個人情報を提供した場合

2.不正利益目的で個人番号を提供・盗用・漏えいした場合

についての罰則を定めていますが、外部からの侵入者による情報漏えいや

内部からの情報漏えい犯罪が該当し、事業主の方々が罰則に該当するとは思えません

主として官公庁、自治体でマイナンバーを取扱われる方がこのようなことを行わないよう罰則

が設けられています

(8)

個人番号法対象企業

個人情報保護法対象企業

5000件以上の個人情報(社員、 顧客等)を所持し事業に用いて いる事業者が対象 情報セキュリティ対策は必須で 罰則もあります マイナンバー情報漏えい による被害を考え、個人番 号法の罰則は個人情報保 護法よりきびしくなっている

正しい情報

個人情報保護法に準じた情報セキュリティ対策が必

須という考えと罰則が個人情報保護法よりきびしくな

るということから誤った情報が生じたようです

マイナンバーと個人情報が情報漏えいし犯罪に悪用

されるケースはありますので情報セキュリティ対策を

講じられることをガイドラインでも勧めておられますが、

実施の範囲、内容は事業者に委ねられています

ガイドラインでは中小企業の実施にともなう負担を軽

減するため「望ましい」という努力義務として記載して

おられます

(9)

2.マイナンバーと情報セキュリティ対策

罰則がなくともマイナンバーを管理する上でセキュリティ対策が重要なのは変わりありません

情報漏えいしたときに第三者に悪用される懸念があるためです

自社の重要な情報

顧客

情報

個人

情報 個人

番号

機密

情報

外部からの侵入・窃盗のリスク 内部からの情報漏えい

(10)

(1)マイナンバー、個人情報の情報漏えいリスクとは

マイナンバーは12ケタの番号だけにもかかわらず、情報漏えいのリスクが言われるのは 個人情報(氏名、生年月日、住所、電話番号、メールアドレス等)とマイナンバー情報を組み合わせた情報が漏えい すると、「なりすまし」犯罪等に悪用されるリスクがあるためです これまでも個人情報情報漏えいによる「なりすまし」犯罪や無断でのDM等送付やメール送付はありましたが マイナンバーは本人であることの公的な証明用途にも使用されるため「なりすまし」犯罪のリスクは高まります 情報のデジタル化で大量コピーも簡単に、ネット ワーク利用で盗みやすくなり紛失も増えています 情報セキュリティ関連の犯罪は世界中で増加し悪質 化しています

個人番号

個人情報

(11)

3.情報漏えいが生じる要因と対策

(1)情報漏えいが生じる要因

A.社外から侵入され情報が漏えい(漏えいの内2%と少ないが 悪質な犯罪が多く被害も大) 侵入方法:不正アクセスで侵入 メールにウィルスソフトを組み込み侵入 社内からインターネットを利用、不正なソフトウェア等が組み込まれたサイトを閲覧、 社内にこのソフトウェアが侵入 ウィルスソフトが入っている外部から持ち込まれたPC等を社内ネットワークに接続 B.社内におられる方から情報が漏えい(漏えいの内 85%と多いが大半はミスによるもの) 社内におられる方が無断で個人情報を取り込んで持ち出すケース(=窃盗) もありますが、 メールに誤って個人情報を添付して外部に送るケースや個人情報の入った PC、携帯電話、外部記憶媒体を紛失、盗難されるケースが大半です 個人情報漏えい事故の90%は従業員50名未満の企業で発生しています(経済産業省調)

(12)

(2)情報漏えい対策

A.運用ルール、規定による主な対策(社内向け対策が主)

分別 :個人情報は特定のファイルに保管する 権限設定 :個人情報のある特定のファイルにアクセスできる権限のある人は特定し、 特定の人か否かはID、パスワードで認証する 暗号化 :個人情報の特定のファイルは暗号化し、外部とやりとりするときも暗号化 し、暗号を開封するのにはID、パスワードが必要にする 運用規定 :分別、権限設定、パスワード設定、暗号化の運用について規定し、その 運用を監査して実行を確実にする

B.情報セキュリティ機器・ソフトウェアによる主な対策

FW :外部ネットワークとの接続にはファイアーウォールを設け外部 からのアクセスから防護する UTM :メールによるウィルスをチェックし防護する WAF :ホームページやECサイトのアプリケーション利用を通して侵入するの を防護する 不審プログラム検知:異常なふるまいを検知して侵入を検知する ログ管理 :個人情報のある特定のファイルへのアクセス記録を報告し不審な アクセスを明らかにする 対策の概要は次ページ「情報漏えい対策概略図」のとおりです

(13)

情報漏えい対策概略図

ファイアウォー ル機能付ルータ ※WebApplicationFirewall WAF UTM ログ管理ソフト ふるまい検知 各人のPC ホームページ用 サーバ ECサイト用 サーバ 個人番号等の 重要情報を置 く共通サーバ

(14)

4.マイナンバー 3つの情報セキュリティ対策

現在、各社がご提案されているマイナンバー制度対策を含む情報セキュリティ対策には主として次の3種類があります この対策とともに対象情報取扱いについての社内体制、ルールを社内外に明確にするため規定の制定は必要です

(1)マイナンバー(個人番号)と社員個人情報に絞った保管サービス

マイナンバーを外部の情報セキュリティ対策が講じられたサーバで保管し、 事業主は情報セキュリティ対策の運用を行わなくてもよい方法です マイナンバーが関係する源泉徴収税や社会保険手続きを行うための給与計算等 もともに運用するしくみもあり、事業主にとって従業員からマイナンバーの 提示を受け確認、登録を行えば、保管、廃棄の運用は受託会社が行います 低価格で運用負担少なくマイナンバー対策を講ずることができます

(15)

(2)自社にとって重要な情報(マイナンバーや社員個人情報を含む)のセキュリティ対策を講ずる方法 企業はマイナンバー以外にも顧客情報、生産機密情報をはじめとした情報 漏えい防止が必要な重要情報を保有しておられます マイナンバー以外の重要情報についても情報セキュリティ対策を講じられる 方法です 方法には大きく分けて次の2つの方法があります (2-1)自社で設備(機器、ソフトウェア、ネットワーク)を導入し運用体制を整えて 情報漏えい対策を行う方法 自社に適した情報セキュリティ対策を実施できます 自社で設備を導入し、体制も整え運用も自社で行うため多くの場合、 費用負担は大きくなります 個人情報保護法適用会社の多くが設備や体制までは整えられましたが 運用が不十分なため情報漏えい事故が生じている事実があります 運用も考えての検討が望まれます 社内のPC ログ管理 侵入検知・検疫 ファイアウォール UTM

(16)

(2-2)情報セキュリティサービスを利用する

外部セキュリティサービス会社を活用する方法です

提供されているサービスには次のようなものがあります

マイナンバー、個人情報を含む自社の重要情報を、外部セキュリティサービ

ス会社の保管サービス(保管情報はバックアップの運用も行われ安全です)

外部からの侵入防止を低価格で行うサービス

ログ管理サービス

運用負担が少ないのでサービスが自社に適したものであれば費用対効果が

高い方法です

社内のPC ログ管理サービス 重要情報保管 サービス ファイアウォール UTMサービス

(17)

<選択のポイント>

マイナンバーや個人情報をデジ タル化し、外部ネットワークと 接続して利用する マイナンバーや個人情報の取扱 い運用ルールを決め、マイナン バー情報は金庫等で保管 マイナンバーと個人情報以外の 重要情報についても」情報セ キュリティ対策を講じる マイナンバー等の外部保管サー ビスの利用と社内の外部ネット ワーク接続について情報セキュ リティサービスを利用する 自社に適した外部情報セキュリ ティサービスを利用する 自社で情報セキュリティ機器・ ソフトを購入し、自社で運用す る 外部向けセキュリティサービス 重要情報保管サービス アクセスログ管理サービス 情報漏えい対策をマイナ ンバーと社員個人情報に 絞って実施される場合 初期投資と運用負担が必要

(18)

お問い合せは下記まで

ジェイズ・ソリューション株式会社

〒104-0033

東京都中央区新川1-16-3 住友不動産茅場町ビル

TEL

:03-6222-8598

FAX

:03-6222-8597

MAIL :sol@js-solution.jp

参照

関連したドキュメント

・総務部は、漏洩した個人情報の本人、取引先 などへの通知、スポーツ庁、警察、 IPA などへの届 出、ホームページ、

テキストマイニング は,大量の構 造化されていないテキスト情報を様々な観点から

名刺の裏面に、個人用携帯電話番号、会社ロゴなどの重要な情

当社は、お客様が本サイトを通じて取得された個人情報(個人情報とは、個人に関する情報

「A 生活を支えるための感染対策」とその下の「チェックテスト」が一つのセットになってい ます。まず、「

題が検出されると、トラブルシューティングを開始するために必要なシステム状態の情報が Dell に送 信されます。SupportAssist は、 Windows

このような情念の側面を取り扱わないことには それなりの理由がある。しかし、リードもまた

「系統情報の公開」に関する留意事項