1. トップ
  2. Policy(提言・報告書)
  3. 科学技術、情報通信、知財政策
  4. マイナンバー法施行直前説明会(議事要旨)

Policy(提言・報告書)  科学技術、情報通信、知財政策 マイナンバー法施行直前説明会(議事要旨)

経団連産業技術本部

  1. 日時: 2015年9月25日(金)15:00~17:30
  2. 場所: 経団連会館 2階 国際会議場(モニター会場:経団連ホール)
  3. 主催: 日本経済団体連合会、経済広報センター
  4. プログラム
    1.開会
    経団連情報通信委員会デジタル社会推進部会長五十嵐 芳彦
    2.10月から始まる動きと企業の対応
    内閣官房社会保障改革担当室審議官向井 治紀 殿
    3.実践マイナンバーガイドライン~最新Q&Aを含めて~
    特定個人情報保護委員会事務局長其田 真理 殿
    4.経営の重要課題としての情報セキュリティ対策
    情報処理推進機構(IPA)理事立石 譲二 殿
    5.閉会

  5. 資料
    内閣官房社会保障改革担当室 提出資料
    http://www.keidanren.or.jp/policy/2015/082_shiryo1.pdf
    特定個人情報保護委員会 提出資料
    http://www.keidanren.or.jp/policy/2015/082_shiryo2.pdf
    情報処理推進機構(IPA) 提出資料
    http://www.keidanren.or.jp/policy/2015/082_shiryo3.pdf

    (下記、議事要旨の文頭ページ番号は各資料のページ番号)


1.開会
  (五十嵐経団連情報通信委員会デジタル社会推進部会長)

内閣官房の向井審議官、特定個人情報保護委員会の其田事務局長、情報処理推進機構(IPA)の立石理事には、正念場とも言えるこのタイミングに、私どもの会合にご来席いただき、感謝申し上げる。また、本日は、多くの会員企業の皆さまにお集まりいただいており、メディアの方にもオープンにしている。ご関心をいただき、心より御礼申し上げる。

いよいよ10月から、国民へのマイナンバーの通知が始まる。企業は、給与所得の源泉徴収票の作成、社会保険料の支払いや事務手続きなどで、マイナンバーを取扱う必要があるため、ご参加の皆さま方におかれては、来年(2016年)1月の制度開始に向けた準備に取り組まれていることと思う。

とりわけ、いまの時期においては、マイナンバー制度をめぐる法改正の動向を把握し、将来動向も見すえながら、現時点で企業が行うべき準備などを最終確認するとともに、安全管理措置・セキュリティ対策についても確認しておくことが重要となる。

そこで、本日は、内閣官房の向井審議官より、10月から始まる動きと企業の対応について説明いただいた後、特定個人情報保護委員会の其田事務局長より、マイナンバーガイドラインの最新Q&Aを含めた、法施行前に行うことが望ましい準備などについて説明いただくこととした。加えて、情報処理推進機構(IPA)の立石理事より、セキュリティ対策の在り方について、経営の重要課題としての観点から解説いただく。

2.10月から始まる動きと企業の対応
  (内閣官房社会保障改革担当室 向井審議官)

内閣官房社会保障改革担当室 提出資料

経団連の皆様には、制度の検討を始めた頃から支援いただいているため、この場を借りて感謝申し上げる。

10月から制度が始まるため、本日は直前期の留意事項等について説明する。「マイナンバー制度はなぜ必要なのか」とよく聞かれるが、諸外国を見てみると、マイナンバー制度のような番号制度はどこの先進国にも存在する。日本においても一部では番号制度のような仕組みが導入されているが、全国民を対象とした本格的な導入は初めてである。諸外国では様々な目的で番号制度が使われているが、特に治安維持を目的としているケースが多い。番号制度は、ITと結びついて個人の特定ができることが基本原則だと考えている。ITと個人番号が結びつくことで、例えば、行政手続における名寄せ等の事務が効率化するメリットがある。国民にとってはITを使うことによる利便性の向上の面が大きい。最も重要な背景として、この先の高齢化社会では、高齢者向けの社会保障給付が急速な勢いで増えていく一方で、負担する人の数は減っていくことが挙げられる。給付と負担の緊張関係はこれまでと比較にならないほど厳しくなる。その中で社会を維持していくためには、社会保障の給付・負担の基準となる所得、あるいは資産の把握に関して、多くの国民が公平・公正であると認める制度が必要となる。そのためにマイナンバー制度が必要なのである。

マイナンバー制度で個人番号を付番するにあたり、国民一人ひとりを特定する必要があるが、国民を特定する手段として、住民票と戸籍の2つの選択肢がある。戸籍には種々の問題があり、また、住民票にはすでに住民票コードがあることからも、今回のマイナンバー制度は住民票コードをベースに作成することとした。諸外国を見てみると、個人情報に関する様々な問題が起きている。特に米国では、社会保障番号(SSN:Social Security Number)という番号制度があり、あらゆる生活においてSSNが必要になる。しかし、SSNの発行時に番号のみで本人確認をしたために、年金の不正受給や税の不正還付等が100万件単位で発生している。こうした反省を踏まえて、わが国のマイナンバー制度では、厳格な本人確認を徹底することとした。マイナンバーは、みだりに知られてはならない番号である一方で、多くの場面で知られうる番号でもある。マイナンバーは、住所や生年月日を足した情報に類する、むしろそれよりも本人特定性の高いものと位置づけている。しかし一方で、知られうる番号であるという前提を考慮すると、仮に他人にマイナンバーが知られたとしても被害が発生しないようにするために、最初の本人確認を厳格に行うことが重要となる。この点をご理解いただきたい。

P.3 マイナンバー制度では、①付番、②情報連携、③本人確認の三つがセットになっている。①付番の仕組みは、個人に悉皆的な唯一無二の番号を付番することである。この番号は見える番号であり、名寄せをして必要に応じて情報のやり取りを行うことができる。②情報連携に関して、報道などを見ているとかなり誤解があるようである。大きなデータベースにすべての情報を格納していくイメージがあるようだが、決してそうではない。例えば、所得情報を年金の保険料の減免に使うことがあり、現在は減免の申請者が役所の窓口に行って所得証明を取得しなければならないが、マイナンバー制度で、その負荷を省略することができる。このとき、役所のバックオフィスでマイナンバーを利用して所得情報を連携することになるが、例えば、日本年金機構が保有する情報は現在と変わらず、特定のデータベースで情報が一元管理されることはない。③本人確認については、マイナンバー制度は、自分が自分であることを証明したり、自分の個人番号の真正性を証明したりするための仕組みである。そのため、マイナンバーの取得時には、個人番号カードや、運転免許証、パスポートなどによる本人確認が必要となる。

P.4 まず付番について説明する。「市町村長は、住民票に住民票コードを記載したときは~」と書いてあるが、今年10月5日に法律が施行されるので、10月5日現在の住民票の所在地にマイナンバーを通知する。新生児は、出生届が出されたときに、市町村長が付番する。それ以外のケースとして、番号法施行時に海外に居住しているなどして住民票を持っていない人には、帰国して住民票を持つときに、付番する。なお、付番対象は、住民票コードが住民票に記載されている日本国籍を有する者のほか、中長期在留者、特別永住者等のいわゆる外国人登録者にも付番されるが、旅行者には付番されない。

マイナンバーは12桁の番号だが、うち1桁はチェックディジットになっているので、実質は11桁である。マイナンバーは基本的に生涯変わらないが、マイナンバーが漏えいして不正に用いられる可能性が認められる場合には、本人の請求または役所の職権によって新たな番号を指定することができる。個々の市町村で全国共通の番号を生成することはできないので、地方公共団体情報システム機構(以下「J-LIS」)という地方公共団体の共同組織が番号を生成する。

一方、法人番号は国税庁長官が法人等に対して指定して通知する。法人番号はマイナンバーと異なり、個人情報保護の問題がないのでオープンにされる。付番対象は納税義務が生じる団体ほぼすべてであり、いわゆる会社だけではなく、政党や宗教法人など、人を雇っていれば法人番号が付番されると考えていただきたい。原則として、法人番号は変更不可で、また、公開された法人番号は官民を問わず様々な用途で利活用することができる。

P.5 こちらは、マイナンバーの利用例を表したものである。誕生して出生届を提出すると付番される。子供の頃には、就学支援金や奨学金の申請、アルバイトの際にマイナンバーを使うことになる。その後のライフステージにおいても税・社会保障に関連する様々な場面でマイナンバーを使うことになる。

P.6 年内の通知スケジュールである。9月からマイナンバー通知の準備をしており、10月5日現在の所在地を各市町村で確定したうえで、対象をJ-LISに送り、そこから国立印刷局に送られ、10月6日から通知カードの製造を開始する。発送開始は10月中旬と記載しているが、現状では20日頃になる見込みである。郵便事情や人口にもよるが、11月中には全世帯への初回の送付が完了する予定である。通知カードは、世帯単位で、簡易書留により送付する。

P.7-8 この画像は、マイナンバーに関する送付物一式である。送付される封筒のおもて面には転送不要と明記され、うら面には音声コードと点字も備える。封入されているものは、①宛名台紙、②通知カード、個人番号カード交付申請書兼電子証明発行申請書、音声コード台紙を世帯人数分(1通で最大8人まで)、③説明用パンフレット、④個人番号カード申請書の返信封筒である。

P.9 この画像は、通知カード及び個人番号カード交付申請書(以下「交付申請書」)の様式である。通知カードは交付申請書と切り離して使うことになる。交付申請書には、住所・氏名等が印字されている。それ以外の必要事項を記入し、顔写真を貼りつけて返信用封筒で送ることで申請が完了する。また、交付申請書の下の方にQRコードがついており、これをスマートフォンで読み取ることで、スマートフォン等で撮影した顔写真を使って申請することも可能である。

P.10 通知カードそのものについては、印刷段階で紙幣のようなすき入れなどの偽造防止加工を行う。通知カードは顔写真がないため運転免許証のような一般的な本人確認手段としては使用できないがマイナンバーの確認手段として使用するため、こうした偽造防止措置をとっている。ただし、顔写真のある個人番号カードとは異なり、マイナンバーのみしか確認することができないので、通知カードを用いてマイナンバーを提出するときには、別途、運転免許証やパスポートなどの本人確認書類が必要となる。

P.11 この図は、個人番号カードの様式である。おもて面には顔写真があり、氏名、住所、性別のほか、運転免許証のような住所等変更欄などを備えている。うら面にはICチップとマイナンバーがある。ICチップには、住基を使うアプリや券面事項を入力するアプリなどが格納される。顔写真を含め券面事項に関する情報が格納される。このほか、公的個人認証アプリとして電子証明書も標準搭載している。個人番号カードは、1枚で本人確認とマイナンバーの確認を同時にできる。写真つきの公的な身分証明書として、無料で発行できるものは個人番号カードだけである。なお、市町村でビニールのカードケースを準備している。カードケースには不透明な加工が施されている箇所があり、マイナンバーをうまく隠せるようになっている。銀行口座の開設やスマートフォンの購入など、日常生活における身分証明書として個人番号カードを使用する場合には、こうしたカードケースに入れておくことで、おもて面のみを見せ、マイナンバーは見せずに手続を行うことができる。

繰り返しになるが、スケジュールについては、今年10月5日にマイナンバーの付番が行われ、遅くとも11月中に1回目は各世帯に通知カード等が郵送される。ただし、簡易書留なので受け取られず返送された場合には、市町村に一時保管される。通知カードと共に交付申請書を郵送するので、そちらで申請いただければ、来年1月以降に、各市町村から交付準備ができたことを知らせる通知書を送付する。そして、市町村の窓口に来庁いただき、本人確認のうえ、個人番号カード交付するのが最も一般的なパターンである。

P.12 このページには、個人番号カード交付・電子証明書発行通知書兼照会書の様式案を載せている。この通知が届いた方から、記載の期日までに来庁いただき、個人番号カードの交付を受けていただきたい。

P.13 ここからは、マイナンバー制度に対する世間の誤解を解いていきたい。マイナンバー制度により、すべての個人情報が紐付けられ、芋づる式に調べることができるといった報道があるが、誤りである。国が新たなデータベースをつくりそこに色々な個人情報を紐付けるのではなく、従来からあるデータベースそれぞれに氏名・住所などと同様にマイナンバーを振っておき、必要に応じてマイナンバーをキーとして情報連携する仕組みである。例えば、右上の「地方公共団体以外の機関」が日本年金機構だとする。日本年金機構では年金番号や基本4情報といった国民の年金に関する記録があり、それらの項目にマイナンバーを追加する。また、右下の「地方公共団体」では住民の所得情報や地方税の利用番号などの情報があり、こちらにもマイナンバーを追加する。地方公共団体から日本年金機構へ所得に関する情報を連携する場合、まず両機関の中間サーバーでマイナンバーが機関別符号に置き換えられ、その機関別符号が情報提供ネットワークシステム(コアシステム)に送られる。機関別符号は共通ではなく、同じAさんであっても地方公共団体と日本年金機構では異なっている。コアシステムは異なる機関別符号同士の紐付けを行う。このように、機関別符号に変換して情報連携する仕組みとなっており、マイナンバーからも切り離されているのである。

また、左上にマイナポータルという個人のポータルサイトの図がある。インターネットを介して個人が個人番号カードによる公的個人認証を用いてログインすることで、自分の情報がどの機関からどの機関に連携されたかといったログを確認することができる。先ほどの例では、地方公共団体から年金機構に送られたことがわかる。

P.14 マイナンバー制度に対する国民の懸念として、情報漏えいやなりすましが発生するのではないかという点が指摘されているが、情報漏えいはマイナンバー制度があろうがなかろうがあってはならない。国と地方公共団体は、マイナンバー制度の導入にあわせて、個人情報の流出を防ぐため策をこれまで以上に講じている。なりすましの防止策としては、基本的に本人確認で対処し、マイナンバーだけでは何もできないようにしている。対面の場合は厳格な本人確認を行い、インターネットでのやり取りでは公的個人認証を用いる。

P.15 自分の情報が一元管理されるのではないかという懸念を報道等でよく見かける。見出しとして「国民の個人情報を国が一元管理するマイナンバー制度」と言われることもあるが、これはまったくの誤りである。何度も申し上げているとおり、マイナンバーの情報は分散管理されており、マイナンバーに紐付けられる情報は紙に書かれていた情報をシステム上に移しただけで、ほとんどの場合マイナンバーに紐付けられることで情報量が増えることはない。また、それ以外の情報はやり取りできないように法律上禁止されており、システム上もできないようになっている。

P.16 個人番号カードを紛失すると危険なのではないかという懸念がある。本人が紛失に気づいた場合には、24時間365日体制で対応しているコールセンターに連絡いただきたい。第三者が取得した場合も、できるだけコールセンターに連絡いただきたい。コールセンターでは、公的個人認証の一時停止処置を行う。

悪用を試みる悪意の第三者に対するセキュリティ対策も施している。基本的に対面では顔写真により本人確認を行えば良く、ICチップにはプライバシー性の高い個人情報は入っていない。また、アプリごとに異なる暗証番号を設定しており、入力を一定回数以上間違うとロックされる。ICチップは偽造しようとすると自動的にチップが壊れる耐タンパー性(注:タンパー(tamper):干渉する、いじくる、いたずらする、勝手に変える、の意)を有している。カードに暗証番号を書いていたらどうするのかという意見もあるが、できるだけそうしないようにしていただきたい。個人的には、将来的に暗証番号は生体認証に置き換わっていくのではないかと考えている。

P.17 罰則は同種の法律における類似規定の罰則よりも厳しいものになっている。上の三つは特定の公務員を対象としたものであり、下の三つは悪意のある人物と想定したものである。中央は「番号の取扱者」が対象となっているため、この部分に関して経済界からもよく質問を受ける。正当な理由なくマイナンバー付きの情報を提供した場合、故意であれば罰せられるが、重過失や過失で罰せられることはない。ただし、使用者に対して両罰規定があるため、従業員が故意で悪意を働いた場合に、使用者まで罰せられるのではないかという質問をよく受ける。これについては、使用者側が漏えい時に過失がなかったことが証明できれば罰せられない。通常のセキュリティ対策や社員教育を行えば罰則がかかることはない。常識的なレベルの従業員教育とセキュリティ対策をしておくことが重要である。

P.18-19 民間事業者も税や社会保障の手続きでマイナンバーを取り扱う。税務関係の申告書にはマイナンバーを記載して提出する。これまでもあった税・社会保障分野での申告書だが、マイナンバーを記載するにあたって、本人確認をするのが面倒な点かもしれないが、ご理解いただきたい。

P.20 税務関係の申告書・申請書・調書等にマイナンバーを記載することになるが、記載時期は決まっている。所得税・法人税の記載対象は、平成28年1月1日以降に開始する年分であるので、確定申告であれば記載時期は再来年の2月になる。この中で、最も早いのは法定調書である。平成28年1月1日以降の金銭等支払いに係る法定調書から記載が必要になる。また、申請書・届出書も平成28年1月1日以降に提出すべき申請書から記載が必要になる。一番先に必要となる場面はおそらく正月のアルバイトである。短期のバイトであれば、その場でとる必要がある。考えられるのは日本郵政や運送業、神社の巫女さんのアルバイトなどである。募集時に通知カードと本人確認書類を持ってくるよう連絡する必要があると考えている。1年を通じて従業員である場合、個人番号が必要になるのはまだ先であるが、途中で辞めたり海外に赴任したりする場合には早めに収集する必要がある。

P.21-22 社会保障関係の申請書は、ハローワークなどが提出先となる。日本年金機構は今回の情報漏えいの影響でマイナンバーの取り扱い時期が遅れるが、それとは関係なく、健康保険・厚生年金保険は当初から平成29年1月1日提出分以降が対象となっている。したがって、社会保障関係書類として来年1月から必要になるのは雇用保険の分野のみである。

P.23-26 このあと特定個人情報保護委員会の説明が予定されているため、説明は省略する。

P.27 個人番号カードのメリットについて説明する。まず、個人番号カードを利用することでマイナンバーの確認と本人確認を同時に行うことができる。

また、個人番号カードは、スマートフォンの契約手続きや銀行口座開設など日常的な場面で身分証明書として使用することができる。以前、美術商の会合で講演した際、「美術商は古物商なので本人確認を行う必要があり、本人確認をするときにマイナンバーを取得しなくてはいけないのか」と質問を受けたことがあるが、これは誤解である。マイナンバーの記載は役所に提出する書類に限られており、通常の本人確認でマイナンバーを取得することは法律違反になるので、注意いただきたい。通常の本人確認の際は、おもて面だけ確認いただければよい。

他には、電子証明書・公的個人認証を使って電子的に本人確認を行うことができるようになるメリットがある。これによりインターネットでの口座開設などが可能となる。

それ以外のサービスとしては、現在の住基カードでも利用できる図書館カードなどに加えて、印鑑登録証、国家公務員の身分証、健康保険証の機能を搭載することも検討している。健康保険証は法施行から3年を目途に搭載することを予定している。各種行政手続きのオンライン申請も行える。e-Taxの利用は典型的な例である。現在オンライン申請が少ない市町村でも、行政手続きのオンライン申請を行えるよう広めていきたい。個人番号カードの公的個人認証機能を使うと本人確認ができるので、キャッシュカードとして使うことも容易である。また、これは現在も住基カードで行っているが、コンビニで各種証明書を取得することもできる。現在は90市町村だが、マイナンバー制度の開始に伴い、今後700弱の市町村に導入予定である。将来的には本籍地の戸籍証明書を取れるようにできれば利便性はさらに高まる。

P.28 個人番号カードには、公的個人認証サービスを無料で標準搭載する。既存の署名用電子証明書(暗証番号は英数字6~16桁)に加え、新たに利用者証明用電子証明書(暗証番号は数字4桁)を搭載する。利用者証明用電子証明書には基本4情報は含まれないため、銀行口座のやり取りなどに利用できると考えている。

P.29 マイナポータルでは、自分の情報のやり取りを自分でチェックすることができる。また、個人を特定したプッシュ型のサービスが可能になる。さらに、民間のポータルサイトや電子私書箱機能を持つようなことも、日本郵政などで検討されている。仮にこうしたサービスが実現すれば、例えば、生命保険会社から契約者に通知する生命保険料控除証明書を、ハガキではなく電子的に送付することも可能となる。e-Taxの完全電子化も夢ではないと考えている。

P.30-31 マイナンバー制度をきっかけとして、年金保険料・税に係る利便性向上と徴収強化に関する検討を行い、いくつかの施策を考えている。個人向けには、各種ワンストップサービス、ワンクリック免除申請、医療費控除の手続き負担軽減などの施策がある。法人向けには、民間ソフトの開発促進、類似した調書の見直しなどがある。また、年金保険料の徴収強化については、督促や厚生年金適用漏れの解消などの施策を考えている。

P.33 源泉徴収書・給与支払報告書の提出一元化として、企業が一つの様式をオンラインで送信すれば、自動的に振り分けて必要な提出先に提出されるようにすることを検討している。

P.34-35 今国会で9月3日に成立した法改正の内容について説明する。マイナンバー法と個人情報保護法の改正が一括審議されたが、本日はマイナンバーに関連する改正について説明する。一つ目は預貯金付番である。3年以内に預貯金口座にマイナンバーを紐つけることが可能となる。ただし、法律上、口座開設者に対する告知義務は課されていない。将来的に10年以内には既存の預貯金口座も含め、かなりの割合の預貯金口座に番号を振ることも検討しており、それによって税・社会保障の公平性は一層担保されると考えている。また、例えば死亡時などにマイナンバーを活用して休眠預金をなくすことや、災害時にマイナンバーだけで預金を引き出すようなこともできるのではないかと考えている。なお、生命保険・損害保険には調書があり、マイナンバーが紐付いているので、災害時にマイナンバーを使うことも可能になる。

二つ目の医療分野では、メタボ健診や予防接種にマイナンバーを活用することなどが検討されている。

P.36 改正法案が成立する直前の時期に、日本年金機構の情報漏えい問題が発生した。来年1月から最大1年5ヶ月間、日本年金機構はマイナンバーの取り扱いを中止する。通例では半年から1年程度と思われるが、最終的には個人情報保護委員会が確認した上で利用開始を決めることになる。情報連携についても本来は平成29年1月から開始する予定だったが、最大11ヶ月延期されることとなった。

P.37 マイナンバー制度導入後のロードマップを、マイナンバーそのもの、個人番号カード、マイナポータルの三つに分けて表している。今回の改正で預貯金口座への付番が可能となったが、2019年の通常国会に向け、戸籍、旅券事務等にマイナンバーを活用することを検討していきたい。個人番号カードは色々な用途が考えられるが、健康保険証と一体化されるとほぼ国民全体に交付されるので、公的個人認証を使った民間利用がさらに盛んになっていくと考えている。マイナポータルでは、将来的にワンストップサービスの提供を実現したい。一般的に親が亡くなったときの手続きが煩雑だと言われているので、死亡時等のライフイベントの手続きがワンストップでできるようになるのが理想である。それ以外にも引越しや子育てなど、ワンストップで手続きできるようなソリューションを検討していきたい。

P.38 こちらは、自民党で作られたロードマップである。もちろん内閣官房も連携をとっている。2020年の東京オリンピックまでにここまでできればよいというものをすべて入れたロードマップである。

P.39 マイナンバーのHPを設けている。わかりやすいコンテンツを揃えていると自負している。今後も情報を拡充していくので、活用いただきたい。

3.実践マイナンバーガイドライン~最新Q&Aを含めて~
  (特定個人情報保護委員会 其田事務局長)

特定個人情報保護委員会 提出資料

本日はお招きいただき、感謝申し上げる。マイナンバー導入直前ということで、本日のテーマは「実践マイナンバーガイドライン~最新Q&Aを含めて~」とした。経団連での勉強会を含め、ベンダー企業やコンサル企業などから話を聞いている方が大半だと思うので何を話すべきか悩んだが、昨年12月にガイドラインを作成してから約9ヶ月間に皆様から寄せられた質問と、その回答を100問ほど蓄積してきたため、それらQ&Aを中心に実践的な説明をしたい。

P.2 こちらは、特定個人情報保護委員会の組織概要である。

P.3 最近ある団体が実施したマイナンバー制度に関するアンケート調査に「企業の担当者が困っていること」が掲載されていた。多くの担当者は「経営者の理解が得られない」ことに苦労しているようである。ガイドラインの説明をする際にいつも申し上げているのは、ガイドラインの「第1 はじめに」では、マイナンバー制度がどのような制度で普通の個人情報とどう違うのかを1枚にまとめている。こちらを是非、企業のトップの方に読んでいただきたい。また、番号法は法律を読んでもよくわからないと言われることが多いが、「第3 総論」では、この法律にはどのようなことが定められており、してはいけないことは何なのか、また、どのような点が普通の個人情報と違うのかを、数ページにまとめている。こちらは担当役員の方に読んでいただきたい。先ほどのアンケートでもう一つ挙げられていた悩みは「相談相手がいないこと」である。本日お集まりの大企業の方には該当しないかもしれないが、何か困ったことがあれば、内閣官房や特定個人情報保護委員会の窓口にご連絡いただきたい。

P.4 こちらは、民間企業へのお願いの全体像である。中央の会社にマイナンバーが記載された様々な書類があり、それらを右側の役所に提出することになる。これを「個人番号関係事務」という。

P.5 従業員、報酬を支払う有識者や弁護士、不動産のオーナーなどからマイナンバーを取得することになる。提供を求めるのは、契約時点あるいは新入社員の入社時点でよい。10月から順次マイナンバーが通知され、来年1月から利用が開始されるが、その準備行為として10月からマイナンバーを収集することが認められている。

P.6 取得の場面で生じる疑問に関するQ&Aである。8月に追加したQ&AにNEWと表示している。Q4-1-2は「事業者は、従業員等の家族全員のマイナンバーを収集することができるか」という素朴な疑問である。当然、事業者は書類に記載する必要がある従業員等の扶養親族のマイナンバーを収集することになる。ただし、家族全員のマイナンバーを収集してよいわけではなく、個人番号関係事務を処理する必要がない家族のマイナンバーの提供を求めることはできない。マイナンバーに関するサービスを展開する業者のなかには「従業員および家族全員のマイナンバーを集めてお預かりします」といったキャッチフレーズを使っているものがあるため、誤解を与えないようこのQ&Aを掲載している。

下段のQ&Aは国税庁HPからの引用である。おそらく昨年12月以降に最も多くいただいた質問で、「マイナンバーの提供を受けられない場合、どのように対応すればよいか」というものである。これは、確固とした信念をお持ちでマイナンバーの提供を拒否する人もいるかもしれないという心配からの質問だと思われる。このQ&Aは、委員会から国税庁に対して見解を出していただくようお願いして国税庁HPに掲載されることになった。国税庁の見解は、「マイナンバーの提供を受けられない場合、こういうお願いをしたが取得できなかったといった提供を求めた経緯等を記録、保存するなどして、単なる義務違反でないことを明確にしてほしい」とのことである。この件に関しては個人番号利用事務実施者の定めるところに従うことになり、税については国税庁が、また、社会保障については厚生労働省が定めることになっているが、厚生労働省も同じような形で定めるのではないかと思う。

P.7-8 安全管理措置については、ガイドブック、新聞報道、雑誌などでよく取り上げられているので、この場ではQ&Aを中心に説明する。番号法では委託先がさらに委託するとき、つまり孫請けに再委託するときは、最初の委託者の許諾が要るということが法律事項として定められている。再委託する度に許諾するのは困難なため、包括的な許諾にしてほしいという要望を多くいただいたが、法律事項をガイドラインで緩めることはできないので、解釈の範囲内で実務に対応できるようにするため、このQ&Aを作成した。

Q3-9「実務負荷の軽減のため、再委託を行う前に、あらかじめ委託者から再委託の許諾を得ることはできるか」という質問については、「再委託をする際、再委託先が適切な業者かどうかを委託者が確認できるから許諾できるのであって、その都度、再委託先の会社とその安全管理措置を確認するのが原則」である。しかしながら、三つの要件があればあらかじめ許諾してもよいと解釈している。要件の一つ目は、委託契約の契約時点において「業者が具体的に特定されている」ことである。こういう会社であれば再委託してよいという抽象的な規定ではなく、再委託先となる可能性のある業者を具体的に特定する必要がある。二つ目は「当該業者が特定個人情報を保護するための十分な措置を講ずる能力があることが確認されている」ことである。十分な管理をしてもらえる会社であって、契約を締結することができることを確認する必要がある。三つ目は、「実際に再委託を行うときには、必要に応じて報告を受ける」ことである。知らない間に再委託されることがないようにしていただきたい。あらかじめ再委託の許諾をするケースは、一般的には多くないかもしれないが、システム系の仕事では、業務の一定箇所をベンダーに委託したうえで、特殊なインシデントやトラブルが発生した際の対応については特定の専門家に再委託するケースが考えられる。インシデントが発生すると「これはA社に頼まなくてはならない」と委託先が判断することになるが、トラブルを解消するためにただちに再委託を行わなければならないケースも想定される。夜間や休日に問題が発生する可能性もあるが、翌日出社して役員の許諾を得て初めて再委託を行うのでは対応が遅れるおそれがある。こうした事情から、あらかじめ対応しておくことも必要であると考えこのQ&Aを作成した。

Q3-12「クラウドサービス契約のように外部の事業者を活用する場合、当該クラウドサービス提供事業者への委託に該当するか」という質問については、中身のマイナンバーを取り扱わない形になっていればセキュリティにおける倉庫業のようなものと考えられるので、番号法上の委託にはあたらない。

P.9 次は、いわゆる安全管理措置についてである。おそらく皆様が悩まれるのは、社内規定を作るときの書き方であると思う。ガイドラインではできるだけ細かな事例も掲載するよう心掛けたが、次のような質問を多くいただいた。

P.10 一つ目は、Q10-2「事務取扱担当者の範囲はどこまでか」という質問である。特定個人情報保護委員会としては、事務取扱担当者を包括的な一般的な用語として使っている。担当者を指定しなければならないと言っているが、マイナンバーに関係する事務はたくさんある。例えば、支店や支社などの営業用不動産を個人の不動産オーナーから借りている場合、現場の総務担当者が不動産オーナーのマイナンバーを取得するケースが想定され、他方で企業内においては、各部署の給与担当や調整担当などのとりまとめ担当者が管下の所属員のマイナンバーを収集するケースもある。また、正社員については本社が一括して収集し、アルバイトについては現場の管理担当者が収集するようなケースもある。このように、マイナンバーを収集する担当者だけでも、いくつものパターンが想定される。税や社会保障の事務の書類を作成する人がいれば、仕上がった書類を運ぶ人もいて、様々な事務フローの中で様々な人が登場する。シンクタンクなどでは、事務フローに応じた事務担当者の決定や安全管理措置などについて提案されているようだが、社内規定を作るときに事務取扱担当者はどこからどこまでなのかと心配されてこの質問をされたのだと思う。

これについては、当該書類に関わる人すべてに担当者という名義をつけなさいということではなく、少なくともそれぞれの事務の担当者を決めておいていただきたいという趣旨である。そして、それら担当者の事務の内容に応じた安全管理措置を講じていただくことが重要である。例えば、源泉徴収票などの書類を作成する人には、コンピュータのID・パスワードやアクセス制御などの安全管理措置を講じ、書類を運ぶ人には「この封筒の中には現場の職員のマイナンバーが入っているので気をつけて本社に持っていってください」といった注意をすることが考えられる。あるいは、大事な書類なので書留で送付するようにすることも考えられる。会社ごとに考え方があると思うので、それぞれのフローに応じた安全管理措置を講じていただければよく、担当者をどこまでも決めなければならないという趣旨ではない点をご理解いただきたい。

そもそもガイドラインに担当者を決めるよう記載したのは、責任の所在を明確化することが重要だと考えているためである。責任の所在を明確化することで事故防止につながる。例えば、「誰か暇なときに経理部に持って行って」とマイナンバーを記載した書類を机の上に放置した場合、当該書類が紛失したときに、誰かが持っていったのか、他の書類に紛れたのかがわからなくなってしまう。こうしたことが起こらないよう、担当者を決めておいていただきたい。また、監督責任という面もある。例えば、パート職員が庶務を行う際に、その人の任務としてその書類を運ぶことを命じるのか命じないのかで、監督や教育の仕方が変わる。加えて、責任の所在が明確化されていれば、仮に収集したマイナンバーが紛失した場合に、「当社ではこういう人が扱っていて、きちんと扱った記録もあるので、外部に漏えいした形跡はない」とはっきり示すことができる。担当者が決まっていない場合、紛失した書類を誰がどこでどのように扱ったかがわからなくなり、外部に漏れてないことを立証できない。何かあったときに原因究明や管理義務を果たしていたことを説明できるように準備をしていただきたい。

Q11-4「標的型メール攻撃等による被害を防止するために、安全管理措置に関して、どのような点に注意すればよいか」という質問については、このあとのIPAの専門家の方からの講演で有益な話が聞けると思うので、詳細はそちらに譲りたい。これまでも内部不正に対する措置は講じられてきたが、日本年金機構の事案を受け、外部からの攻撃に対する経営層の意識はあまり高くないと指摘されている面もあるのでこのQ&Aを追加した。日本年金機構の事案に関する報告書等を読んで、セキュリティリスクに関しては専門家の意見や知識を聞くことが非常に重要だと感じている。ハッカーは日々腕を磨いており、1年前に万全だったことが、今日には役に立たないこともある。一方で、守る側の技術も向上しており、専門家からシステムの構成に関するちょっとした工夫などについて助言を得られる可能性もある。そうした専門家から吸収した意見や知識を経営者まで伝えるようにしなければならないというのが日本年金機構の事案から得られた教訓である。冒頭で経営層の方にガイドライン「第1 はじめに」と「第3 総論」を読んでいただきたいと申し上げたのは、こうした理由もある。

セキュリティに対して一定の投資をしたり、社内のシステムや規則を変更したりするためには、経営者の意識の向上が必要である。企業が取り扱う情報には、マイナンバーに限らず、漏えいしないよう注意しなくてはならない情報がたくさんある。それらの情報を守ることを含め、会社全体の課題として再認識いただきたい。

教訓の三つ目として、現場の認識の問題も挙げられる。今は日本年金機構の事案が発生したばかりで、また、マイナンバー制度の導入直前でもあるので、社内の企画立案を行うセクションや現場の担当者にもある程度セキュリティに対する意識があるが、しばらく事件や事故が発生しないとそうした意識も緩みがちである。標的型メール攻撃については「専門性」「経営者」「現場」を常に意識する必要があることを、政府の教訓として皆様にお伝えしたい。

P.11 Q15-1-3は、業界団体や国会議員からの問い合わせも多かった「特定個人情報を取り扱う区域の管理」についてである。週刊誌などの記事を読むと、どんな会社であっても一律に個室を準備しなくてはならないとか、必ずパーテーションなどの区切りを設けなくてはならないとか、入退室管理を行わなくてはならないなど、誤解して書かれている場合がある。実際はそうではなく、「管理区域」と「取扱区域」を別のものとして考えていただきたい。管理区域は、データベースを格納する大きなサーバーのある区域で、例えば、人事データや顧客データが保存されたデータベースを格納するサーバー室のようなものをイメージしている。この管理区域には入退室管理があったほうがよく、当然、データを取り扱う者のアクセス権限やID・パスワードの管理などが求められる。一方、取扱区域は語感からも想像がつくように、源泉徴収票の作成や社会保険の事務を行う事務室を指す。取扱区域については、パソコンで作業するのであれば、その画面がお客さまなどに見えるようなことがないようにしていただきたいという趣旨であって、必ずパーテーションがなければならないということではない。例えば、事務室と応接室を別のスペースにして、事務室では壁を背にするよう担当者の座席配置を工夫するなどすれば十分である。必ず個室やパーテーションを準備しなくてはならないわけではないことをご理解いただきたい。

Q15-1-4は、「従業員が数人程度の小規模事業者」で、一つの事務室で一貫して事務を行っている事業者を想定している。来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないようにすること、留守にする際には確実にドアを施錠すること、書類や電子媒体は施錠できるキャビネットや引出等に収納し、使用しないときには施錠することなどに注意していただきたい。一部の報道等では、金庫を準備しなくてはならないと書かれているケースがあるが、そうではない。このQ&Aは数人規模の会社で一つの事務室という前提で作成したものだが、大企業においても人事部門や経理部門が源泉徴収票の作成を一つの事務室で行う場合には、同じように考えていただきたい。給与などを取り扱う部署は、もともとそれなりの情報管理を施した事務室や仕組みになっていると思うので、その延長として参考にしていただきたい。

P.12-13 次に「保管」についてである。番号法で限定的に明記された場合を除き特定個人情報を保管してはならない。Q&Aは、保管方法というよりは周辺事情の話である。Q6-2-2は、「扶養親族のマイナンバーについては従業員本人が取得することになっているので、事業者に本人確認義務はないが、書類に正しい番号が記載されているかを確認するために、事業者が扶養親族の通知カードや個人番号カードのコピーを取得してよいか」という質問である。これは、従業員とその家族のマイナンバーを確実に確認して提出したいという誠実な会社からの質問だと思う。個人番号関係事務の一環として可能であると回答している。ただし、取得したコピーを保管する場合には、安全管理措置を適切に講ずる必要がある点にご注意いただきたい。

Q6-4-2は、「マイナンバーが記載された支払調書の控えを保管することができるか」という質問である。弁護士、原稿作成を依頼した先、研修講師などの支払先本人から問い合わせを受ける場合や、税務署から照会を受ける場合があるため、現状では基本的には保管している会社が多いようである。これについても、個人番号関係事務の一環として可能であると回答している。また、支払調書の控えを保管する期間について「使う必要がなくなればただちに廃棄しなければならないのか」という問い合わせを多くいただいたが、常識的な範囲内で一定期間お持ちいただくことは結構であると回答している。

P.14-15 「利用」については、当初に多くの疑問が解消され、ガイドラインの公表後にはあまり質問は出なかった。Q1-1-2は「個人情報保護法における個人情報の利用目的と一緒にマイナンバーの利用目的を通知してよいか、または、区別して行う必要があるか」というもので金融機関からの質問だと思う。区別して通知等を行う法的義務はないが、マイナンバーの利用範囲は限定されているので、マイナンバーの利用目的は包括的なものにはならないはずである。番号法で定められた利用範囲を超えて利用目的を特定・通知等しないよう、普通の個人情報とは異なる点に留意する必要がある。

P.16-17 「提供」については、番号法で限定的に明記された場合、すなわち役所に提出する場合に限られる。

資料には、従業員等本人に給与所得の源泉徴収票を交付する場合のQ&Aを掲載している。Q5-2「従業員等本人や扶養親族のマイナンバーを表示し状態で交付してよいか」という質問については、現在の省令規則では、本人及び扶養親族のマイナンバーを表示した状態で本人に交付することが定められている。本人が当該帳票を使用する場面としては、確定申告で使用することが考えられる。また、反対に「従業員等本人や扶養親族のマイナンバーを記載しなくてもよいか」という質問も多くいただいた。実務上マイナンバーはなくてもよい場面もあるし、そもそもマイナンバーは当該本人から提供を受けたものである。これについて、何度も国税庁と相談してきたが、現時点では本人交付用の源泉徴収票にマイナンバーの記載を行わないという概念は認められていない。(※)

※ 2015年10月2日、所得税法施行規則等の改正が行われ、番号法施行後の2016年1月以降も、給与等の支払を受ける方(本人)に交付する源泉徴収票等の「個人番号」の欄は記載を要しないとされた。具体的な取扱い、対象書類については、国税庁HP等を参照。

Q5-8「支払調書等の写しを本人に送付することはできるか」については、「保管」に関するQ6-4-2と関連する質問である。マイナンバー付きで渡すのであれば、個人情報保護法の規定に基づく開示の求めがあったという形式で本人に交付することになる。開示の求めを受け付ける方法としては、口頭による方法を会社で定めていれば、求めに応じて支払調書等の写しを渡すことも可能である。当該支払調書等の写しに本人以外のマイナンバーが含まれている場合には、復元できない程度にマスキングをする等の工夫が必要となる。なお、マイナンバーがなければ何の規制もかからないので、マイナンバーの記載がない支払調書等の写しを本人に渡すことは問題ない。

P.18 「廃棄」については保管のところで説明したとおり、番号法で限定的に明記された場合を除き特定個人情報を保管してはならないとされているので、個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければならない。この点、不要になったら消さなければならないことでかなりの事務負荷が発生することは、話を伺ってよくわかった。しかしながら、色々なところにいつまでも自分のマイナンバーが保管されるリスクを少しでも減らしたいという国民の懸念に配慮した法律事項であることをご理解いただきたい。廃棄が必要となってから廃棄作業を行うまでの期間については、安全性及び事務の効率性等を勘案して、毎年の文書や情報の棚卸の際などに定期的に廃棄することが考えられる。不要になったら翌日に廃棄しなくてはならないわけではない。

P.19 「廃棄」について多かったのは、アクセス制御に関する質問である。Q6-10は、「マイナンバーを削除せず、誰もアクセスできないようアクセス制御を行う取扱いは許容されるか」という質問である。繰り返しになるが、番号法で限定的に明記された場合を除き特定個人情報を保管してはならないとされている。一方でこの取扱いが認められてしまうと、一度提供したマイナンバーが色々なところにいつまでも保管されるおそれがあり、法律事項を解釈でここまで広げることは難しい。データが残ることは、本人にとっても保管する会社にとってもリスクとなる。アクセス制御をすればよいとはならないので、できるだけ速やかに廃棄又は削除していただきたい。

また、「書類等の廃棄に係る復元不可能な手段として、シュレッダーの利用は認められるか」という質問も多くいただいた。家庭用の目が粗いシュレッダーだと簡単に復元できてしまうので、ガイドラインには記載していないが、Q15-3で取り上げている。復元不可能な程度に裁断可能なシュレッダーであれば結構である。

P.20-22 いわゆる安全管理措置の内容について説明する。左側は「安全管理措置の内容(本則)」、右側は「中小規模事業者における対応方法」である。大企業においても、関連会社や取引先で従業員100人以下の中小規模事業者(金融機関等を除く)の方から質問を受けたときなどに参考にしていただきたい。

P.23 最後に、資料の宣伝である。<マイナンバーガイドラインを読む前に>の二つ目「中小企業向け はじめてのマイナンバーガイドライン」には、先ほど紹介した「中小規模事業者における対応方法」にヒントを追加している。また、<小規模事業者向け>の「小規模事業者必見!マイナンバーガイドラインのかんどころ」には、一つの事務室で一貫して事務を行っている事業者における、社員の採用から退職までのライフステージに応じた書類の取り扱いや注意事項等を簡単にまとめている。自分のマイナンバーをどのように取り扱うか、事務室ではどのように取り扱うか、書類を運ぶときに留意すべきことなどについて記載されている。大企業においても一般の社員に対する研修資料として利用いただきたい。最初のページにはマイナンバーのルール4箇条を掲載しており、これだけは知っておいてほしいという説明を5分で行いたいときにも活用することができる。

4.経営の重要課題としての情報セキュリティ対策
  (情報処理推進機構 立石理事)

情報処理推進機構 提出資料

マイナンバー法に基づく特定個人情報の安全管理措置、これとかなり密接な関係にあるのが情報セキュリティ対策である。最近は特に標的型攻撃が増えており、大量の情報流出事案が発生している。こうした現状をデータとともに紹介しながら、情報セキュリティにおけるリスクに対してどのように向き合っていけばよいか、皆様と一緒に考えていきたい。

P.2 まず情報処理推機構(以下「IPA」)について簡単に紹介する。IPAは、経済産業省所管の独立行政法人で、誰もが安心してITのメリットを実感できる“頼れるIT社会”の実現を目指して、①情報セキュリティ、②情報処理システムの信頼性向上、③IT人材育成の3つの事業を柱として取組みを展開している。

一つ目の「情報セキュリティ」については、約四半世紀前から、当時の通商産業省の告示に基づく国内初のコンピュータウイルスの届出機関としての役割を担い、ここ20年は、不正アクセス被害の届出も受け付けている。また、毎月の情報セキュリティ対策に関する呼びかけを中心に、広く啓発活動を展開しており、原宿では「パスワード―もっと強くキミを守りたい―」というキャッチフレーズで、マンガポスターを活用した広報なども行っている。

二つ目の「情報処理システムの信頼性向上」については、特に、ひとたびシステムダウンが起きると非常に多くの国民に迷惑がかかってしまう重要インフラのシステムについて、その更新や運用にあたっての留意事項をガイドラインとしてまとめている。

三つ目の「IT人材育成」については、「情報処理技術者試験」という国家試験の実施機関としての活動を行っている。また、最近の事例では、将来のセキュリティ社会を担う若手ハッカーの発掘・育成を目的としたセキュリティキャンプの開催なども行っている。

P.3 本日は、第一に、リスクマネジメントの本質に立ち返り、情報セキュリティは特別な問題ではないということをお伝えするとともに、この対策を実際に意味のある活動に繋げていくためには、企業の経営層、トップの方々の関与が不可欠だと強く申し上げたい。

第二に、情報セキュリティについて色々な方と話をすると「情報セキュリティはものすごく専門的な話でよくわからない」「お金をかければかけるほどよいが、コストにも限界があり何をどこまでやったらよいか基準が全くわからない」といった声を聞くことが多い。しかし、実はこの考え方は全く間違っていて、考え方の順番が逆である。

加えてマイナンバーとの関係においては情報流出が最も気がかりだが、外からの攻撃ばかりではなく最近の事例の約半数は内部不正が要因となっているため内側と外側の両面から考えなくてはならないことを、事例を交えて紹介したい。

P.5 この円グラフは、情報漏えいがどのようなきっかけで発生しているのかを表したものである。一見すると、「誤操作」「管理ミス」「紛失・置き忘れ」といった人的なうっかりミスによるものが8割以上を占めているが、最近、左上の「不正アクセス」やコンピュータシステムの「設定ミス」、業務媒体を通じた「不正な情報持ち出し」や「内部犯罪」の比率が急速に高まっていることに注目している。発生件数ベースで表すとこの円グラフになるが、一回の漏えいで流出したデータ量で引きなおすと、比率はおおよそ5割ずつになる。つまり、うっかりミスなど人的な要因での流出が半分、サイバー上の、あるいはそのシステム上の仕組みの中でもたらされた流出が半分である。

P.6 当然事故には様々な発生原因があるため、それぞれのリスクに対してどういう対策をするかという組み合わせは一対一対応ではなく、複数の選択肢があるはずである。この組み合わせによって実際に事故の発生を食い止めなければならないが、残念ながら事故をゼロにすることは難しいため、その次の段階として、万が一事故が発生した場合の影響を最小限に食い止めることも重要となる。

経営者の方々から多く挙がる「何にどれだけお金をかければよいのか」という質問に対しては、右上の「受容」レベル次第である。事故が起きた場合に、自社に事業上どのような影響があるか、具体的には、社告を出してお詫びをすれば済む程度の問題なのか、それとも被害者に集団訴訟を起こされて巨額の賠償リスクを負う可能性があるような問題なのかなど、どれほどのビジネスインパクトがあるかを見極める必要がある。直近では、ソフトウェアの問題で国際的な大企業の経営トップの責任が厳しく問われ、事実上辞任した事例も発生している。私たちは、こうしたリアルなリスク領域に足を踏み入れているので、経営トップが、ITやセキュリティは専門家の領域だと言っていては、物事は済まない。その事故が自らの事業や企業にどれ程のインパクトを与えるかどうかはセキュリティの専門家や外部業者には判断できないからだ。そこはやはり経営者自身の感覚でこのリスクを測るしかない。

次に、不幸にして事故が起こった場合、その影響を最小限に食い止めるための合理的な選択に移ることになるが、受容レベルを評価するサイクルが回ってなければ、外側からいくら対策をしても意味がない。まずは、受容レベルについて、考えていただきたい。なお、実際には専門的な内容も多く、社内でうまくその仕組みが機能しているのか、正しい対策ができているのか不安になる面があるため、そこはシステムセキュリティ監査のような外部の第三者から専門的な目でチェックをして保証してもらう仕組みを活用していく選択肢も考えられる。

P.7 情報セキュリティの問題を考えるときは、常に3つの性質についてデータを安全な状態に保つことに注意を払っている。一つ目の「可用性」は、必要なデータが必要なときに利用できる状態にすることや、年間を通じてノンストップで常に利用できる状態にすることを指す。二つ目の「完全性」は、誤って記録されたり、途中で誰かに書き換えられたりしていることがない、情報の正しさを保つことを指す。三つ目の「機密性」は、マイナンバーでもよく言われていることで、権限のない人が閲覧できるようなことがないように、然るべき人が然るべき方法で閲覧できる性質を保つことを指す。これらの性質それぞれ、あるいは全体を安全に保つための対策が情報セキュリティである。

情報セキュリティの話をするとき、守るべきは「情報(資産)」だとよく言われている。これは大事なキーワードで、コンピュータシステムでもデータベースでもICチップでもなく、その中に記録されている情報そのものが何より守るべき対象である。情報をどのように守るかを考える際、その情報の重要度を考える必要がある。しかし、例えば保有するデータがどの程度重要かについて社内の各部門に確認した場合、どの部門も「かくかくしかじかの理由で重要です」と回答するであろうから、重要度は主観的な要因が反映されるケースが多く、定量化することが困難である。そのため、情報の重要度を考える際は、ビジネスインパクト、すなわちこの情報が漏えいしたとき、毀損されたときに事業にどれ程のインパクトがあるのか、その影響を看過できるか、どれくらい受容できるか、といった情報資産をとりまく環境から判断することが実は一番の近道となる。

P.8 マイナンバーに関連して、特に中小企業の経営者の方と話をすると、「社内のシステムを刷新することを検討しており、コスト的に自社の身の丈を超えた負担になってしまう」という話をよく聞くが、従業員や従業員の家族の人数を考えると、システムではなく紙文書で記録して担当者が施錠保管する方がむしろ安全な場合もあり得る。これも先ほどと同様、重要な情報の取り扱いと、どういう管理方法をとるかのベストミックスの関係で考えるべきである。実際、「ITシステムを導入しなければならない」と思い込んでいるケースもよくある。情報セキュリティの問題であるためITが絡むことは事実だが、紙文書と電子化文書にはそれぞれメリット・デメリットがある。電子化情報のメリットに記載している事項は、情報が漏えいした場合には一度に大量のデータがコピー可能な形式で拡散するという点で一番の弱点にもなり得る。メリット・デメリットの両面からみてベストな対策を考えていくことが重要である。

P.10 情報セキュリティ対策をどこまでやればよいかという問題についても、経営者の目線が非常に重要になる。過去にも色々な漏えい事案が発生しており、IPAが相談を受けるケースも非常に増えている。それらの事案に共通して見られる現象は、悲しいことに責任を取らされるのはいつも経営者であるにもかかわらず、事件が起こって初めて状況を知る経営者があまりに多いということである。すなわち、社内にどれほどの重要度の情報があり、どのような取り扱いをされているのかを経営者が把握しておらず、「こんなに重要な情報がこんな取り扱いをされていたのか」と事故後の調査で初めて知るケースが非常に多い。また、もう一つ大きな現象として「そういうことはできないルールになっていました」というセリフが非常に多いことも挙げられる。これを個人的には「・・・ことになっていた」症候群と呼んでいる。これは、システムもルールも仕組みもしっかりと整備していたが、運用は違っていたケースである。ファイアウォールや侵入検知システムの導入をはじめとしたシステム的なセキュリティ対策に加え、社内の規定やルールが存在しているとしても、実際の運用が乖離していないかどうかは、やはり誰かがチェックしなければならない。後ほど詳しく紹介するが、不幸にして漏えい事案に遭った企業も、システム的なセキュリティ対策には万全な措置を講じていたのである。しかし、運用面に思わぬ死角があり、事故をきっかけに初めてその事実を知った経営者がたくさんいるという悲しい現実を少しでも改善していかなくてはならない。その場を乗り切るための対応だけでは、類似の事故はどこかで再び発生する。経営者は本質的な対策を行う必要がある。

P.11 好むと好まざるとに関わらず、経営トップが全ての責任を負うことになるため、情報セキュリティについても普段から報告・連絡・相談がスムーズに行われるような環境づくり、組織づくり、雰囲気づくりをしていくことが、これからの経営者に求められる力量の一つになると考えている。そうでなければ、なんとなく最終責任を経営者が負うだけになってしまう。

企業の中、あるいは企業と顧客との関係であればこれで話は完結するが、他にもステークホルダーはいる。情報セキュリティ対策には経営トップの関与が必要と叫び続けても今ひとつハマっていないことの理由として、ステークホルダーに対する認識の甘さが挙げられる。企業は出資者である株主のもので、経営者は企業の経営を任されているに過ぎない。例えば、株主が「明日にも世界中で2兆円の課徴金を課されるかもしれないような脆弱な対策の企業だとは知らなかった」となれば、経営者が株主に対して、IR上、重要な情報を開示していたかどうかという点が問題になる。アメリカでは既にこうしたことが問題になっている。これからは、情報セキュリティは専門家のものだから外部の人に任せていたとか、難しいから自分は関与しなかったというセリフは通用しなくなるだろう。

P.12 経営者はどのような情報をどの程度の粒度まで把握すべきなのかというと、もちろん技術的な細かなところまで完璧に把握すべきということではない。問題となるのは企業の中で取り扱われている情報の重要度であり、松・竹・梅の情報がどこにどういう形で保有・利用・廃棄されているか、このライフサイクルの存在を把握することが肝要である。経営者は担当部門に対して、松レベルの情報に対しては相応の対策をしてリスクを回避することを指示し、それを実現するための具体的な対応策を、システム部門や情報セキュリティ部門などの担当者が検討して、それを経営層が承認すればよい。また、情報セキュリティ、特にサイバーセキュリティというジャンルになると、去年は安全だったことが今年も安全とは限らないため、そのような管理の仕組みが日常的に上手く回っているかどうかのチェックを併せて行うことも重要である。実際に、これまで安全だと思っていたインターネットの基幹技術が、実は後ろに穴があいて筒抜けだったとか、他国から簡単に盗聴されていたとか、まさかそこまでやらないだろうという常識を覆すような事例が、蓋を開けてみると多数発生しているのがサイバー空間の現実である。だからこそ、社内の対策そのものも常にチェック&レビューを繰り返していく必要があり、報告や評価の基準などについても経営者が関与すべきものとして認識することが今後ますます重要になってくる。

P.13 情報の漏えいの事故が発生した直後は、まずは何が起こったのかわからないため「原因究明」を行うことになるが、それと同時に、当然ながら被害が発生しているため、その被害の発生を最小限に食い止めなくてはならない。大企業であれば記者会見などによる情報開示が時時刻刻と求められることに加え、「原因究明」と「被害規模の調査」のプロセスを流れ作業ではなくて同時並行に進めていくことになる。そして、その次には被害を最小限に「封じ込める」必要がある。また、最近さらに状況を複雑にしているのがソーシャルネットワーク(以下「SNS」)の存在である。SNSを炎上させない対策も同時に追加されるため、かなり複雑なオペレーションとなる。企業のやり取り、一挙手一投足をネット上の市民が見ているため、ひとつのコメントがどんどん広がりを見せ、炎上していくケースがよくある。このことからも、事故対応のプロセスには激しいプレッシャーが伴うことを心得ていただきたい。当然ながら「被害者への対応や公表」「事後調査」「再発防止」、また、最近の日本年金機構の問題のように、自らの調査のほかに第三者による調査、報告、評価が求められるケースもある。できる限りこのようなプロセスに陥らないように事故を発生させないことが重要だが、万が一事故が発生してしまったときに全く想定していなかったということがないように、自社において起こり得る事象を想定して社内でシミュレーションをしたり、予行演習をしたりすることが万全の対策という意味で必要になる。

P.15 ここからは具体的な事例を中心に紹介する。本資料には、公表されている事例をそのまま掲載している。表は、ここ最近発生した大きな内部不正事件である。不正行為者の立場や動機はさまざまだが、ITシステムが絡むため、一回の漏えいで流出するデータ量が桁違いに大きいことが特徴であり、当然ながら流出したデータ量に相関して企業が受けるダメージも大きくなる。

P.16 事例1は、家電量販店の元社員が逮捕された事件で、会社を退職する前に自らのパソコンに遠隔操作ソフトをインストールし、転職先の別の会社で、自分が使っていた端末を通じて外から不正に情報を入手した事例である。後の調査で、前職場内にいる元部下が不正を助けていたことも明らかになっている。この事例では、情報を取り扱うためのパスワードやアクセス権限を正当に保持している社員が不正行為者となった。業務上、情報を利用したり保管したりする中心となっている人が情報流出をする側にまわるのが内部不正の怖いところで、これは外部からの攻撃とはまた違う意味で非常に深刻な問題である。

P.17 事例2は、昨年発生した事件で、3500万件を超えるデータを、外部業者に金銭目的で売るために、スマートフォンを用いて外部に持ち出した事例である。企業では、USBなどの外部記憶媒体を社員が勝手に差し込んで情報を取り出すことができないよう技術的な対策が講じられていたが、スマートフォンを外部記録メモリとして使用するケースまでは想定されていなかった。ご存知のとおりスマートフォンは持ち歩くコンピュータであり、ソフトのダウンロード次第でカメラにもなるしデジタルレコーダにもなるし外部記録メモリの役割も果たす。これは技術的な対応の漏れとそれが可能なことを不正行為者が知ったことなど、いくつかの要因が重なることで発生してしまった事例だが、教訓とすべきは流出したデータ量の大きさであり、企業側が補償するために支払った金額の大きさである。260億円の特別損失を計上することは経営者としてはとんでもないことで、普段からそのリスクを想定して技術的な対策を打つコストの方が2桁以上も安い金額で済むはずである。これが、私たちがもう一度考え直さなくてはならない問題である。

P.18 事例3は、業務提携先の社員が競合他社に移籍するときに手土産がわりに製品に関する研究データをコピーして持ち出した事例である。これによって約1100億円の損害賠償を求められることになったため、ビジネスとしては脳天がしびれてしまうような事態であったことは事実である。

P.19 内部不正の状況については、統計データが多くあるわけではないが、それでも可能な限り調査をしたところ、営業秘密の漏えい者の多くは中途退職者、例えば人員整理や事業のリストラなどで退職することになってしまった、ある意味不満を抱えている人によるものが半分を占めている。また、漏えい先については競合他社が最も多い。もともと重要な情報に触れたり利用したりする権限を持っている人が辞めることによって、その情報を最も高く買ってくれる人に提供しているということなので、会社をいじめてやろうといった動機ではなく、自己の利益のための金銭目的の行為であることは明らかである。

P.20 こうした内部不正のきっかけや動機について分析しながら有効な対策を考えていかなくてはならない。現状としては、事業の根幹を脅かすような事件は報道されているが、それら公表されている事件は氷山の一角である。裁判に至らないものや内部規定違反など、内部で処理され公表されていない事件を含めると件数はさらに大きくなる。右側の円グラフは、IPAが実施したアンケート結果である。「対策を研究するために重要な情報なので匿名化してでもいいので情報漏えいに関する情報を提供してもらえませんか?」という問いに対して「公開する」という回答は1割に満たず、「公開しない」という回答は3割を超えた。これが現時点における率直な反応である。

P.21 一方で、こうした統計データの不足によって傾向と対策が有効に打てないのではないかと疑われる節もある。左側の表のとおり、企業の経営者を対象とした、「内部不正を招かないためにどのような対策をとっていますか?」という問いに対して、ID・パスワードの管理、それからアカウント管理とアクセス制御を厳格にしているという回答が先行している。しかし、前述のとおり、不正行為者は正規の権限を持っている人であるため、この対策が完全ではないことは既に明らかである。また、右側の表の左の縦軸は、もしかすると明日その不正行為者になってしまうかもしれない「従業員」を対象とした設問である。「どのような対策があなたの出来心を防ぐ要因、抑止力になると思いますか?」という問いに対して、社内に記録が残る、監視されている、監視カメラがある、実際に自分の同僚がルール違反で罰せられた、などが挙げられる。他方、「経営者」の方に同じ質問をすると、右の縦軸にあるように、従業員で1位だった項目が19位となり、割合にするとほとんど0パーセントになる。有効だと思われる対策と現場の抑止力には、イメージ的なすれ違いがある状況がこの少ないデータでも浮き彫りになっている。

P.22 何が心理的な要因で何がそういう事態を招いたのかについては、もちろん犯罪心理学など、コンピュータシステム以外の知見も活用しながら考えなくてはならない。

P.23 出来心は3つの要因から発生し、しかも同時に叶えられるタイミングで不正が起こるといわれている。一つ目は、動機やプレッシャー。人事上そもそも不満を抱えているとか、競合他社に負けないように売り上げ目標を達成しなくてはならないプレッシャーなどが挙げられる。二つ目は、機会。思いついたことができる仕組みになっていることにたまたま気づくことが挙げられる。三つ目は、正当化。事件を起こした人はものすごく勝手に理由づけしていて、自分がこういうことをするのには十分な理由があるとか、都合のいい解釈で責任転嫁をするものである。

P.24 こうした要因が全部揃ってしまったときに内部不正が起こるので、これら3つの要因がどこかで防げるように、様々な種類の対策を組み合わせることが重要となる。ただ、何度も繰り返し申し上げるが、対策を講じるときには、その情報が企業にとってどの程度重要で、どの程度コストをかける必要があるかを経営者が判断することが重要である。

P.25 米国CERTのInsider Threat Centerというナショナルセンターが内部不正を含めたデータを集め対策を講じているが、IPAでは、そうしたデータも活用しながら可能な限りわかりやすいガイドラインを作成している。ここで紹介している「組織における内部不正防止ガイドライン」は、ベネッセの事件が起きてからダウンロードや参照件数が非常に増えているが、実は事件が起きる1年以上前に作成したものである。無料で配布しており、付録として巻末にチェックシートがついていて使いやすいものになっている。自社の対策に死角がないか、抜け漏れがないかを確認できる仕様になっているため、活用いただきたい。また、具体的な実施策の立案にあたっては、JNSA(日本ネットワークセキュリティ協会)がそれぞれのリスクに対して、対応するIT製品と技術的な選択肢とをあわせて書き表したソリューションガイドを作成している。経営者の方が左側のガイドラインをチェックし、担当部門の方が右側のソリューションガイドを参照することである程度実現可能なプランに落とし込むことが可能である。これらも毎年、可能な限り内容の刷新、見直しを続けているため、参照いただきたい。

P.27 ここからは、情報流出のもう一つの要因である外部からの攻撃について、特に最近話題に上ることが多くなった標的型攻撃メールを中心に、それがどういった脅威なのか、また、どのように対応すればよいか説明する。過去5年間に発生した重大な情報流出事案の中でも標的型攻撃メールをきっかけに発生したケースが多い。

P.28 日本年金機構の情報漏えい事件では、日本年金機構とそれを監督する厚生労働省、内閣官房、第三者委員会から三者三様の報告書がまとめられた。こちらは内閣官房サイバーセキュリティ戦略本部の報告書からの引用である。標的型攻撃メールを開封したことが原因でウイルス感染したことがきっかけとなった。セキュリティ上の課題としては、①認証サーバーの脆弱性への対策が不十分、つまりセキュリティホールに対してパッチを常に充て続けなくてはならないところ最新の状態に保つことができていなかったこと。②すべての端末においてローカル管理者権限のID・パスワードが同一だった、つまりアクセス管理とパスワード管理は厳格に行っていたが、運用では皆が同じパスワードを使っていたこと。③インシデント発生時に責任者への報告がなされていなかったこと。④情報系ネットワークの多重防御の取り組みが不十分、つまりリスク管理においてサーバーへの攻撃を想定していなかったことが挙げられる。これらを再発防止に向けて改善すべきとして、強いトーンで書き込まれている。

P.29 実際にあった標的型攻撃メールの事例を紹介する。ある地方紙をまとめた非常に読者の多いニュースサイトがあり、そのウェブサーバーがセキュリティ対策のパッチをあてていないことに気づいた攻撃者が、まずそのニュースサイトに不正アクセスをしてユーザーパスワードのリストを盗み出す。最近のニュースサイトはIDにメールアドレスを登録するケースが多く、メールアドレスの中身を見るとメーカーの人とか、役所の人とか、だいたいの素性が判明する。次に、その中で重要な情報を持っていそうな企業の社員のデータを集めて、どういうペースでニュースサイトを閲覧しているかを調べる。そこから、毎日午前中にニュースサイトをチェックしているといった行動パターンを見抜く。さらにターゲットのブログやSNSの内容も確認して、例えば、春と秋に開催する重要な商談会に必ず足を運んでいて、そうした情報に関心が高いことを見抜く。そしてその時期を目がけて、まったく丁度よいタイミングで、商談会の案内と見せかけたタイトルのメールを送る。ここまでくると、ターゲットとされた社員は間違いなくそのメールを開いてしまう。これは、気が緩んでいたとか、そういう次元の話ではない。攻撃者は、委託先や子会社や取引先の情報など仕事上の重要情報を最終目的として、まずは、その人が趣味でアップロードしている個人の活動履歴などの公開情報に狙いを定め、長期間、執拗にその人を追いかけ、一番弱い部分、進入しやすい部分を発見して、そこから侵入して、最終的にはウイルス付きメールを投げつけるという段取りをとっている。これは、個人のオタクやマニアではなく、37ヵ月もの準備期間を設けて、重要情報を持っている人を特定し、その人の行動や生活パターンも把握をしたうえで攻撃する、まさしく組織犯罪以外の何物でもない。私たちはこういうリスクと対峙していかなくてはならないのである。

P.30 こちらは実際にIPAに届出のあったIPAの名前を騙った標的型攻撃メールである。「@ipa.co.jp」というドメインで送られてしまうと、これを開かないでくださいとはなかなか言いにくいのだが、現在、IPAでは全ての広報メールに、電子署名でIPAが送信したメールであることを証明する電子キーをつけている。電子キーがついていないメールを受け取った場合には、ウイルス付きメールである可能性があるため、絶対に開かないでいただきたい。

日本年金機構の事例では、きっかけとなった最初の標的型攻撃メールは、日本年金機構が年金制度改正手続きに伴い国民から広く意見募集している期間に送りつけられた。また、一時IPAの「標的型メール特別相談窓口」への相談件数が多かった事例として、就職活動の時期に採用希望者のふりをして、経歴とともに自分の奉仕活動などの活動状況を撮影したものと称する写真を添付して企業の採用担当窓口に送りつけられたケースもある。企業の採用担当者は、このようなメールを開封しなければ仕事にならないはずである。攻撃者は、こうした事情や時期を理解しているのである。決して開封者の気のゆるみ、油断、うっかりミスなどではなく、それだけのリスクがあることを私たちは真剣に考えなくてはならない。

P.31 先ほど標的型攻撃を実際に実行しているのは組織的な集団だと申し上げたが、最近は、一から手作りしたウイルスは少なくなっている。過去に流行したウイルスを再利用しているケースが多く、工業生産的な仕組みを活用しているともいえる。ウイルスを開発するツールは、ブラックマーケットで販売されている。そのウイルスの中には、いつどんなツールを使って開発されたかという情報が刻印されているケースがあるため、標的型攻撃メールを分析すると、同一の攻撃者によるものかどうかをある程度推定できる。IPAが運営している、J-CSIP(国内重要産業の企業・組織間の情報共有体制)が、3年間に標的型攻撃メールとみなした939通のうち、114通(全体の12%)が同一の攻撃者によるものと推定された。

P.32 その114通の攻撃メールは、9組織に送りつけられ、4種類のウイルスを使って、31ヵ月にわたり、用意周到に準備されていた。文面についても一昔前は日本語の使い方がおかしなものや旧字体の漢字が踊っていることで受信者が気づくことができるものが多かったが、最近の標的型攻撃メールは、日本語としても全く不自然ではなくなっている。また攻撃者は、同時に複数のターゲットとやり取りをしているはずだがそれぞれの企業と文脈が通じるやり取りを繰り返していることから、日本語に不自由なく複数の文脈を維持しながら会話ができるスキルを備えた犯人像だということがわかる。さらには、休日については活動がなく、サラリーマンのように朝9時から17時に仕事をしている人のような攻撃パターンであることもプロファイルされている。これらを踏まえても、個人のオタクとか一部のマニアが引き起こすリスクではない。内部不正の場合、各社各様の対策を講じることができるが、外部からの攻撃の場合は、一企業で守りきるのは困難で、業界などの組織単位、国家単位での取り組みも重要となる。これからは、業界で情報共有しながら対応していく仕組みを持っていくことと、何かが起きたときに迅速に対応できるようなインシデントレスポンスチームの編成なども真剣に射程に入れて考えていくべきであり、IPAとしても、そのためのサポートを色々なかたちでしていきたいと考えている。

P.33 IPAでは、昨年7月、サイバーレスキュー隊という派遣型のレスキューチームを立ち上げた。こちらは、そのレスキューチームが対応支援した事例である。公的組織が狙われたケースで、最終的なターゲットは霞が関の中央省庁となったが、最初に犯人が侵入を試みたのは、公的組織の地方支部である。攻撃者は、①地方支部のシステムのセキュリティ対策が不十分であることに目をつけ、標的型攻撃メールで地方事務所Aさんのパソコンに侵入し、データを大量に抜き取る。②それらのデータを分析してAさんが東京事務所のBさんと頻繁にメールのやり取りをしていることを突き止め、AさんになりすましてBさんに対してメールを送る。Bさんは、日常的にやりとりをしているAさんからのメールを疑いなく開封してしまう。これにより攻撃者は、Bさんのパソコンに侵入し、データを入手する。③それらのデータを分析してBさんが中央省庁の担当官と頻繁に重要事項のやり取りをしていることを突き止め、当然今度はBさんになりすまして中央省庁の担当官に対してメールを送りつける。幸運なことに中央省庁のセキュリティ対策でそれが標的型攻撃メールであることが発覚し、重要情報の漏えい事故を未然に防ぐことができたが、要するに攻撃者はこれくらいの段取りを踏んで攻撃してくるのである。また、標的型攻撃メールは、ばらまき型のメールと比較して発覚するリスクが少ないことも攻撃者にとってメリットとなる。大袈裟な言い方かもしれないが、「現在わが社は標的型攻撃を受けていません」と言い切っている企業の半分以上は、単に標的型攻撃を受けていることに気づいていないだけかもしれない。これほど用意周到であるため、PDCAサイクルを回して手抜かりのないように入念なチェックをお願いする。

P.34 こちらは、サイバーレスキュー隊のレスキューの一般的な流れである。実際にサイバー攻撃を受けた企業の方は、事象が発生した瞬間は頭の中が真っ白になってしまう。外部から「あなたの企業は頻繁に情報を垂れ流していますよ」と連絡が入った瞬間、どこで何が、一体どうしてこんなことが起きているのかがわからず、現状を把握するだけで精一杯である。そこからの対策を民間の専門業者に依頼しようとすると1500万円の見積書が送られてきて、一体何のために1500万円もかかるのかもよくわからない。そこで、まずは、IPAのレスキューチームが入って、何が起こっているのかを突き止め、同時にこれ以上被害が広がらないように応急措置をする。そして感染したであろうと思われるサーバーと端末の台数を特定し、民間の専門業者と連携しながら、その1500万円が事象に対して妥当かどうかをチェックする過程を手助けする。そこから先の具体的な対応は、民間の専門業者の仕事になる。なお、この前段階として、そもそも情報セキュリティに関する用語がわからず、経営層に説明ができないということで1~2日経過してしまうケースがあるため、そういう会話ができるような人材を確保することも情報マネジメントとして重要である。

P.36 「IPAテクニカルウォッチ」という標的型攻撃メールの見分け方や注意点をまとめたガイドブックを公表しており、好評を得ている。無料でダウンロードできるため、活用いただきたい。

P.37 本日の説明をまとめると、情報セキュリティにおける判断を経営陣が適切に行うことができるように、情報がしっかりとトップまで上がるような仕組みづくりが何よりも重要である。

また、事故にすぐに気づくことが被害の極小化につながるので、事故が起きる兆候を事前に感じ取ることができるようなモニタリングの仕組みを構築することも重要である。

経営トップの方々の関与がなければ実際に行動に移すことはできないので、是非この点は何度も強調しておきたい。

P.39~44 ここからは、映像コンテンツ、マニュアル、また、冒頭にお話した「情報処理技術者試験」の新たな試験区分として創設する「情報セキュリティマネジメント試験」などについて紹介している。映像コンテンツは、YouTubeの「IPA Channel」を通じて公開しているので、社内研修などに活用いただきたい。

5.閉会

以上

「科学技術、情報通信、知財政策」はこちら