日本年金機構の情報流出から考察するパソコンでの情報管理
社員の個人情報や社内の会計管理などなど、いまやパソコンなしで管理することが非常に難しくなってきましたよね。
社長さんも10年ほど前は「俺、パソコン苦手だから」で済んでいたことも、いまの時代通用しなくなってきました。。
ただその反面、2015年に起きた年金情報漏えい問題(※)などパソコンで管理することに起因した重大流出事件が起こっているのも事実です。
※年金情報漏えい問題:日本年金機構が2015年6月1日に公表した不正アクセスによる情報流出問題。
同機構の調査報告によると、標的型の攻撃で特定の職員に対しあたかも実在する関係者を装って、ウィルス付のメールを送りそのメールを開封したパソコンから次々に感染し、少なくとも125万件(!)の年金情報が流出していまいました。
「ずさんな対応」と言ってしまえばそれまでですが、当事者の立場に立ってみるとこの日本年金機構が受けた標的型の攻撃は、受け取る側の職員の苗字が記載されていたり、連想しやすい内容の件名になっていたりなど、不用意に添付ファイルを開封してしまう気持ちも分からないではありません。
あなたは本当に防ぎきれますか?
マイナンバーはいわゆる「国策」ですから、やりたい人だけ導入してね、と言う制度ではなく大企業でも零細企業でも全ての事業者が導入しなければいけません。
では導入するのは仕方ないとして、収集したマイナンバーはどのように管理しましょう?
真っ先に思いつくのはExcel(注)などの表計算ソフトやword(注)のようなワープロソフトで一元的に管理する方法ですね。
すぐに思い浮かべる形としては株主名簿や従業員名簿の住所の横あたりに枠を1つ増やしてマイナンバーを追記する形です。
どうでしょう?
この既存の情報に追記すると言うやり方であれば、手間も増えませんし源泉徴収票や社会保険の関係の書類などに記載するときも一目で分かりますね。
(注)Excelならびにwordはマイクロソフト社の登録商標です。
ただし問題が1つだけあります。
前述の日本年金機構の流出事件のときのようなサーバー攻撃を受けた場合です。
何となく仕事に関係しそうなメールが届いて、たまたま添付ファイルが付いている。
しかもメールの件名に「先日の取引について。」と書いてあり、添付ファイルの題名が「今後の計画」などと書いてあったらどうですか?
もしかしたら添付ファイルを開いてしまいそうじゃないですか?
アウトです。
これがまさに日本年金機構が受けた標的型の攻撃です。
同機構のケースでは、5名が添付ファイルを開いてしまい結果的に31台のパソコンがウィルスに感染してしまったそうです。
2015年9月時点では過失による漏洩に対して即座に適用される罰則はありませんが、特定個人情報保護委員会の監督の対象になったり企業の信用低下につながることも大いにありえます。
お気をつけください!
▼紙では限界を感じる皆様のために、社内で簡単にマイナンバーを管理できるソフトウェアを作りました!
じゃあどうすればいいんだ!
と言うことになります。
ご存知のようにマイナンバー管理を外部に委託する場合は猛烈に手間がかかります。
管理を外部委託する際の注意点について
前振りが非常に長くなりましたが、我々から提案させていただきます。
社内でマイナンバーを管理する場合に、氏名や住所などの情報とマイナンバーを分けて管理しましょう!
どういうことかというと、前述のように既存の名簿に枠を1つ増やして追記するとサイバー攻撃を受けた際に氏名も住所もマイナンバーも全て漏れてしまいますが、もしもマイナンバーだけを別に保持しておけばどちらか一方が漏れたとしてももう一方は漏れずに済みます。
[123456789123]という番号だけ知り得ても悪用のしようがありません。
したがって既存の名簿類はこれまでどおり管理をした上で、アクセス制限などを施した別ファイルにマイナンバーだけを独立して管理するという方法です。
これでも面倒だと言う場合は当社のソフトウェアが社長さんに代わってしっかり管理します!
細かいお問い合わせやご相談もお待ちしています!
お問い合わせはこちらへ
