Skip to content

マイナンバー制度の施行に伴うセキュリティの見直し

迫るマイナンバー制度
問われる企業のセキュリティ

2016年1月からスタートするマイナンバー制度。すべての企業は、規模や業種を問わず、従業員などのマイナンバーを取り扱うことになります。このページでは企業におけるマイナンバーを含む個人情報(特定個人情報)のセキュリティ対策について紹介します。


マイナンバーとは?

住民票を有する全ての人に配布される12桁の番号であり、制度開始時は「税」「社会保障」「災害」分野における活用が予定されています。将来的には、「戸籍」「旅券」「預貯金」等における活用も検討されています。

マイナンバーについて詳しく知りたい方は、政府広報オンライン 社会保障・税番号制度<マイナンバー>をご覧ください。

企業におけるマイナンバーの取り扱いとは?

マイナンバー制度が始まると、企業は税金や社会保険の手続きにおいて、従業員などからマイナンバーを本人確認を行った上で収集し、書類などに記載しなければなりません。マイナンバーの収集対象者は、役員、パート、アルバイトを含む従業員だけではありません。その扶養家族、さらには、講師の謝礼や原稿料、不動産使用料、配当などの支払い先なども含まれます。 また、法律で定められた目的以外には利用できないため、その収集から保管・利用・破棄に至るまで、個人情報保護法以上に厳格な管理が義務づけられます。

企業におけるマイナンバーの管理・運用の流れ

危惧されるマイナンバー情報の漏えいや不正利用

企業では多くのマイナンバー情報を管理することになりますが、危惧されるのは情報漏えいや不正利用の問題です。対策を怠り、マイナンバーを含む個人情報(以下、特定個人情報)の情報漏えいが発生した場合、信用の失墜、企業イメージの低下、損害賠償、マイナンバー法(※)による厳しい刑罰が待っています。

万が一、特定個人情報漏えいが発生した場合

※ 行政手続における特定の個人を識別するための番号の利用等に関する法律

「外部からの攻撃リスク」と「内部からの情報漏えいリスク」

マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。


海外でのマイナンバー情報(社会保障番号)の漏えい事例

すでにマイナンバー制度のような社会保障番号制度を運用している国々では、社内外の不正行為による個人情報の漏えいや改ざん、社会保障番号そのものの悪用事件が多発しています。制度の開始を控えた日本企業にとって、もはや他人事ではありません。

マイナンバー情報(社会保障番号)漏えい事件

時期 業種 攻撃手法内容 被害内容 被害規模
2015年2月 米国 医療保険サービス 外部からの不正アクセスによる窃取 氏名、生年月日、加入者ID、SSN(※1)、住所、電話番号、電子メールアドレス、勤務先情報が漏えい 約8,000万件
2014年4月 カナダ 歳入庁 脆弱性を利用した不正アクセスによる情報改ざん 納税者の社会保障番号の削除 900件
2014年1月 韓国 クレジットカード複数社 内部犯行による情報の不正持ち出し 住民登録番号(国民ID)や金融機関の口座番号を含む顧客の個人情報が漏えい 約2,000万件

マイナンバー情報(社会保障番号)が悪用された事件

時期 被害内容
2015年2月 米国 盗んだIDで税申告ソフトを通じて、大量な不正な税申告をオンラインで行い、還付金を得ようとする事件が発生。
2014年10月 米国 詐欺目的で、不正にSSN(※1)と銀行口座情報を購入しようとし、2年3ヵ月の実刑判決が言い渡された。
2011年 米国 ある女性がSSN(※1)を悪用され続け、高校卒業の時点でクレジットカードとローン口座を42件作成され、150万ドルの借金をされていた。

※1 ソーシャルセキュリティ番号
※ トレンドマイクロ株式会社調べ 2015年4月

トレンドマイクロのソリューション

トレンドマイクロは、内部からの情報漏えいと外部からの攻撃による情報漏えいに備えるため、さまざまな脅威に対応する製品をラインナップしています。さまざまなポイントでマイナンバーを含む特定個人情報を守ります。

内部からの漏えい対策   サイバー攻撃による漏えい対策

■必要となる対策

  • USBメモリやスマートフォンなどのデバイス接続制御
  • ネットワーク制御
    • 不正サイトへのアクセス遮断
    • SNS/掲示板の書き込みブロック
    • Webメール対策
    • 添付ファイルチェック

具体的な対策を見る

 

■必要となる対策

  • 不正アクセス・サイバー攻撃対策
    • サーバ変更監視(改ざん検知)
    • セキュリティログ監視
    • 公開サーバ脆弱性対策
    • ネットワーク監視
    • 標的型メール攻撃対策

具体的な対策を見る


情報漏えいの原因と対策

情報漏えいの原因の8割が、うっかりミスや添付メールの誤送信と言われています。またそれだけではなく、マイナンバーが印刷された書類の持ち出し、リムーバブルストレージによるデータの持ち出し、オンラインストレージへのアップロード、Webメールでの送信などが悪意を持って行われることも考えられ、日常業務の中に情報漏えいのリスクがあふれています。

マイナンバー情報(特定個人情報)流出の内部要因を排除する

重要なポイントは、情報漏えいに直結するような利用シーンをなくすことです。たとえば、PCにUSBメモリをはじめとしたリムーバブルストレージを接続できないようにする、マイナンバーを含む特定個人情報を勝手にコピーしたり外部に送信したりさせないようにするなど、システム側で強制的に持ち出しを防ぐための仕組みを整備します。

トレンドマイクロのマイナンバーセキュリティ対策製品 - 内部からの漏えい対策

脅威 対策 トレンドマイクロの製品
USBメモリやスマートフォンなどの リムーバブルストレージによる不正な持ち出し PC端末に接続できるリムーバブルストレージの利用制限 Trend Micro情報漏えい対策オプション™(※)
特定個人情報の外部流出(メール添付、プリンタなど) 特定個人情報を含むファイルの流出監視/ブロック Trend Micro情報漏えい対策オプション™(※)
故意のオンラインストレージやWebメールへのアップロード オンラインストレージ、Webメールへのアクセス制限 InterScan Web Security Virtual Appliance™

※ ウイルスバスター™ コーポレートエディションのオプション製品

Trend Micro情報漏えい対策オプションでうっかりミス、もしくは故意の漏えいから特定個人情報を保護

ウイルスバスター™ コーポレートエディションにTrend Micro情報漏えい対策オプションをプラグインとして追加することで、個人情報漏えいのリスクや不正プログラムの感染リスクを低減します。

Trend Micro情報漏えい対策オプションのポイント

  • デバイスコントロール機能
    漏えいリスクの高いデバイスの利用を制御(※1)
  • データ流出監視機能
    やりとりされるデータの中身を監視(マイナンバーテンプレート搭載)
  • データ検出機能
    クライアントPC上の個人情報の有無を確認(※2)

※1 モバイルデバイスの利用を禁止するためにはウイルスバスター コーポレートエディション11を利用する必要があります。
※2 ウイルスバスター コーポレートエディション11とTrend Micro Control ManagerTM 6.0 SP1の組み合わせで動作する機能となります。

特定個人情報の漏えいを防ぐマイナンバーテンプレートとは?

Trend Micro情報漏えい対策オプションのマイナンバーテンプレートの設定からクライアント側での検出、管理サーバ側でログ検出の流れを動画でご覧いただけます(所要時間:約11分)

動画を見る

Trend Micro情報漏えい対策オプションの機能を30日間無料で利用できる体験版やインストール、動作確認を解説したガイドをご用意しています。
※ Trend Micro情報漏えい対策オプションの体験版はウイルスバスター コーポレートエディションの体験版に含まれています。

Trend Micro情報漏えい対策オプション体験版

Trend Micro情報漏えい対策オプション評価ガイド

Trend Micro情報漏えい対策オプションの製品詳細


ますます巧妙化、高度化する標的型サイバー攻撃

悪意のある第三者は、関係者を装って標的型メールを仕掛けたり、Webサイトを改ざんし、閲覧した従業員のPCを不正プログラムに感染させたり、巧妙かつ悪質な手口で不正にアクセスしてきます。従業員のアクセス権限を乗っ取り、マイナンバーを窃取される危険性もあります。

マイナンバー情報(特定個人情報)を狙う標的型サイバー攻撃への対策

マイナンバーを含む特定個人情報を狙う標的型サイバー攻撃に対しても、従来までの標的型サイバー攻撃対策と同様に3つのポイントでの対策が必要です。

入口対策 出口対策 内部対策
疑わしい通信やファイルを検出した場合に、詳細な分析を行い、必要に応じて通信の遮断、ファイルのブロックなどを実行。攻撃者の侵入や不正プログラムの感染を防ぎます。 内部から外部への通信を監視し、不正侵入した攻撃者が内部活動に利用するC&Cサーバとの通信を遮断。攻撃者の最終目的の達成を阻止し、組織内への被害を回避します。 巧妙な手口による侵入を防ぎきれない場合に備えて、ネットワークを監視し、内部に潜む脅威を可視化。攻撃者による不正な活動をいち早く検知し、被害を食い止めます。

トレンドマイクロのマイナンバーセキュリティ対策製品 - 標的型サイバー攻撃による漏えい対策

脅威 対策 トレンドマイクロの製品
標的型メールによる不正プログラムの侵入・感染 標的型メールの検知 Deep Discovery™ Email Inspector
不正サイトを通じた不正プログラムの侵入・感染 不正サイトへのアクセス遮断
不正プログラムからの感染の保護
ウイルスバスター™ コーポレートエディション
InterScan Web Security Virtual Appliance™
脆弱性を悪用する攻撃 サーバの脆弱性対策
エンドポイント端末の脆弱性対策
Trend Micro Deep Security™
Trend Micro Virtual Patch for Endpoint
遠隔操作による内部情報の抜き取りや不正な内部探索活動 外部への不正なネットワーク通信・接続の検出
ファイルやレジストリの変更監視
早期の内部活動の検知・可視化
InterScan Web Security Virtual Appliance™
Deep Discovery™ Inspector
重要な情報が保管されているサーバへの侵入 セキュリティログ監視/変更監視 Trend Micro Deep Security™

トレンドマイクロのサイバー攻撃・標的型攻撃に対するソリューションは以下のページをご覧ください。

サイバー攻撃・標的型攻撃対策 標的型メール攻撃対策

また、ウイルスバスター コーポレートエディションの導入環境におけるTrend Micro Cnotrol ManagerとDeep Discovery Inspectorの製品連携による標的型サイバー攻撃対策は以下のページをご覧ください。

高度化する標的型サイバー攻撃への対策


トレンドマイクロでは、マイナンバー制度の施行に伴うセキュリティ対策について、より深くご理解いただくために、資料の提供やセミナーを実施しています。

資料紹介

法律・監査・セキュリティのプロが説く
マイナンバーで変わる、セキュリティリスクと個人情報保護の重要性

マイナンバーは、個人情報の中でもとりわけ利用制限の厳しい、秘匿性の高い情報です。そのため、民間事業者も、政府の特定個人情報保護委員会が策定し、2014 年12 月に(その正式版を)公表した『特定個人情報 の適正な取扱いに関するガイドライン』と、そこに記されている「安全管理措置」に沿いながら、マイナンバー、あるいはマイナンバーを含む個人情報(これらは、「特定個人情報」と呼ばれる)を厳格に管理し、漏えい、滅失、毀損、不正使用のリスクから保護する義務を負います。

果たして、マイナンバーは、企業の情報セキュリティリスクをどれだけ高めるのでしょうか。そして、マイナンバーを漏えい・盗難から守るには何が必要とされるのでしょうか。法律とシステム監査、セキュリティのプロが解説します。(PDF:1.54MB)

■目次

  • はじめに
  • マイナンバー制度と安全管理措置について
  • 1.マイナンバーのセキュリティリスク
  • 1-1.膨らむセキュリティリスク
  • 1-2.マイナンバーで高まる個人情報の絶対価値
  • 2.マイナンバー対策のポイント
  • 2-1.マイナンバー対策の出発点
  • 2-2.求められる「脅威の侵入・内部犯行ありき」の総合対策
  • 2-3.マイナンバー・特定個人情報を守るトレンドマイクロのソリューション
  • 2-4.マイナンバー対策を情報資産のたな卸しのきっかけに

本ホワイトペーパーは、弁護士法人エルティ総合法律事務所長 藤谷 護人氏と、トレンドマイクロ株式会社 上級セキュリティエバンジェリスト染谷 征良の対談インタビューを元に編集をしています。

 

「マイナンバーで変わる、セキュリティリスクと個人情報保護の重要性」ダウンロード 

マイナンバー制度開始に向けたセキュリティのあるべき姿とは? ~社内外からの脅威に対する適切な対策の実行~

2015年10月より個人番号の通知がはじまり、2016年1月より運用が開始されます。各企業において、さまざまな対応が必要となり、2015年において大きな出来事となります。

マイナンバー自体の認知度は高まりつつありますが、一方でマイナンバーによって各企業がどのような影響を受け、何をすべきか、どのような対策を講じるべきかなどについて、明確に理解をしたうえで、取り組んでいる企業はまだ多いとはいえないでしょう。

本レポートでは、マイナンバー制度の概要を紹介し、さらに各企業における影響や実施すべき項目について解説をしていきます。また、特定個人情報保護委員会より公開されている「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の中から、特に技術的管理措置に着目します。そして、マイナンバーを含む特定個人情報を管理するにあたって、重要な情報セキュリティの観点から考えられる脅威シナリオとその対策、さらにはトレンドマイクロが提供できるソリューションについて紹介しています。(PDF: 1.39MB)

■目次

  • 1 はじめに
  • 2 マイナンバーについて
  • 2-1 マイナンバー制度とは?
  • 2-2 企業におけるマイナンバーの取り扱い
  • 2-3 マイナンバーの重要性
  • 3 想定される情報セキュリティ脅威とリスク
  • 3-1 海外における社会保障番号を含む情報漏えい事件、悪用事例
  • 3-2 内部からの漏えい
  • 3-3 外部から不正アクセスによる漏えい
  • 4 脅威に対する対策
  • 4-1 企業に求められるマイナンバーを含む特定個人情報の管理
  • 4-2 内部からの特定個人情報持ち出しの対策
  • 4-3 外部からの不正アクセスによる情報漏えい対策
  • 5 トレンドマイクロが提供できるソリューション
  • 5-1 内部からの特定個人情報持ち出しの対策
  • 5-2 外部からの不正アクセスによる情報漏えい対策
  • 6 まとめ

 

「マイナンバー制度開始に向けたセキュリティのあるべき姿とは?」ダウンロード 


お問い合わせ

フォームでのお問い合わせ

フォームでのお問い合わせはこちら

※ お問い合わせにあたっては、迅速にご返答するため、法人のお客さま向けお問い合わせフォームにて、「情報漏えい対策」のチェックボックスをオンにしてください。

法人お問い合わせ窓口

03-5334-3601 (FAX:03-5334-3639)
月曜日~金曜日の9:00 ~ 12:00、13:00 ~ 18:00
(ただし祝祭日および、その振替日を除きます)
〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー


購入

トレンドマイクロ製品のご購入手続きは、販売代理店、トレンドマイクロ直営オンラインストア、直営電話窓口から行うことができます。

販売代理店から購入する

すでにお付き合いのある販売代理店にご連絡ください。または販売代理店検索をご利用ください。

販売代理店を検索する

トレンドマイクロの直営ストアから購入する

トレンドマイクロの直営オンラインストアや電話窓口でもご購入いただけます。

直営オンラインストア

【直営電話窓口】
03-5334-3701
営業時間 9:00~12:00/13:00~18:00
※土日祝祭日および、その振替日を除きます