マイナンバーや特定個人情報に限らず、情報セキュリティとは「外部」と「内部」の2つのベクトルから来る脅威に対して、個別の対策を考慮しなければならない。
年金機構で起きた事件や昨今の標的型攻撃による情報漏えいにより、とりわけ外部からの脅威にフォーカスされがちだが、2014年にベネッセにて起きた内部不正型の情報漏えいへの考慮も当然ながら必要であり、番号法ガイドラインにおいてもその対処項目について触れられている。
前回は、標的型攻撃を含む外部からの最新の脅威に対して必要となる技術的安全管理措置のレベル感について解説した。今回は上記「内部」の脅威に対して必要な安全管理措置について、どうしたら内部不正が起こらない環境が構築できるのか考えたい。
内部不正が依然としてなくならない原因としてよく挙げられるのは、「権限を持つ管理者の出来心一つで、情報はいかようにでもなってしまう環境にある」という考え方がある。一方、「情報は参照される」特性上、漏えいにつながるリスクポイントが多すぎて対処が非現実的という考え方もある。
しかしマイナンバー、特定個人情報についてはその利用自体に制限が設けられているため、後者のようなことは起きえない(社内の誰にでも参照可能な管理方法は違法行為となる)。
よって、マイナンバーに対する内部不正対策は、実際に番号を管理する人事、経理およびデータが格納されるファイルサーバ、データベースなどを管理する管理者に絞って考慮すればよい。
また、マイナンバーを取り扱う企業の多くは当面、源泉徴収、健康保険などに限った事務手続き上で取り扱うことになるだろう。企業が、源泉徴収、健康保険などの目的以外でマイナンバーを取り扱う際はどうか。マイナンバーを「書類ベース」で管理可能な社員数の規模であれば、「人的安全管理措置」で言及されている事務担当者の監督と教育、「物理的安全管理措置」で言及されている入退室管理などで対応できるはず、とガイドライン上からはくみ取れる。
ところが、内部不正はどんなに取り締まっても、管理者がデータにアクセスできる権限を持っている以上「起こりうる」ものだ。それが管理者の私的な欲求が起因するにしろ、運用を楽にするためにシステムの隙をついたことで偶発的に起こるにしろである。管理者からデータ管理の権限を奪うことができない以上は、「事後対策」までを含めて内部不正対策となる。
そのため、組織的安全管理措置においては、情報漏えいの事実、もしくは兆候が確認できた時点で責任者への連絡体制と、委員や主務大臣への連絡体制が含まれている。
しかし企業側からすれば、事後対応、すなわち情報漏えいの事実を公表した際の世論の煽り、業績への影響なども鑑みて、内部不正にいち早く気づける情報管理体制を整えたいと考えるのが定石だろう。
なお、番号法では、情報管理を外部委託している場合においても、委託元が監督責任を課せられる以上、委託先での情報漏えいに対しても責任が発生する。そのため、すでに個人情報の管理を外部委託している企業は注意が必要だ。