マイナンバー制度施行で情報漏洩対策も求められます

• 2015年10月からマイナンバー制度が施行されます。マイナンバー制度は12桁の個人番号を住民票を有する方全てに割り振り、主に社会保障や税に関わる各種行政事務の効率化が図る事ができます。
  また、より正確な所得把握が可能となる為これまで見えなかった不正処理の防止効果や社会保障や税負担の公平性を高める物とされています。

  マイナンバー制度が始まると民間企業も官公庁や自治体に提出する書面にそれぞれマイナンバーを記載する事が必要になります。そのため給与や保険管理業務においてマイナンバーの社内管理だけでなく、外部持ち出しやハッキング被害などの”漏洩対策”も必要となります。もし制度対応が不十分で予想外の情報漏洩や不正利用等がなされた場合には、その行為者だけでなく所属組織に対しても懲役や罰金など罰則の対象になる可能性があります。

業務担当

マイナンバーの収集・記載

全従業員のマイナンバーを正規手続きで収集し、保管から廃棄手続きまで守秘義務・取扱規定を遵守する。

管理者

マイナンバー保護体制の整備

マイナンバーや個人情報の閲覧規制や取扱処理を業務フローから整備し、管理者側でも漏洩を防ぐ情報管理体制を構築する。

セキュリティ管理者

情報ネットワーク管理

外部からの不正アクセスや社内情報持出しの管理の他、メールでの誤送信注意喚起・偽装サイトへの接続防止対策を社内全体に認識させる必要がある。

「現状問題起きていないから大丈夫」 と言い切れますか？

• 中小企業は今まで個人情報保護法で言うところの「個人情報取り扱い事業者」の適用外でしたが、マイナンバー制度は中小企業でも対象となり特定個人情報の安全管理措置が別途必要になります。 特にマイナンバーのメモ書きや作成資料を他の社員がいつでも見えるところに置き忘れたり、本人宛にマイナンバーをメールでやり取りしていた際に管理職等第三者にも自動で同時転送していた場合も抵触する可能性があります。

  マイナンバー制度施行にあわせて事務処理の準備を進める企業は増えていますが、外部からの不正アクセスや偽装なりすましサイトなどへの対策はウィルス対策ソフト使用以外は従来のまま変わっていないところが依然多く、情報管理体制も含めると対策を済ませた企業は3割にも満たないのではと言われます。

  ウィルス対策ソフトも万能ではありません。これまで情報流出で問題になった企業もウィルス対策ソフトもちろん導入していたはずです。それでも機能の死角を突くように、メールで偽装成りすましサイトに巧妙に誘導しネットバンキングのパスワードを不正取得したり、ウィルスファイルを無料ソフトと偽装して知らないうちにダウンロードさせようとします。そして感染したPCから顧客情報の流出という事件につながります。顧客情報ではなかったとしても従業員のマイナンバーも流出する可能性は今後十分考えられます。

  つまりウィルス対策ソフトだけでは社内情報は完全に守ることが出来なくなってきている事を十分認識する必要があります。

近年、中小企業の不正送金被害が増大してきています

• 大手企業や金融機関は以前から不正アクセスが多かったこともあり予算をかけて対策を厚くしたことで、近年は危機意識も低く侵入しやすい中小企業へのシフトが進んでいます。 目に見えにくい特徴から被害に遭わないとウィルス感染に気づきにくい点や、セキュリティ向上まで経費を割り当てることが出来ない都合があったり、情報管理者も特にいない企業だと意識はしても実行にはなかなか踏み切れないのが実情かと思います。
  

  しかし、そういった意識を突いて被害が広がっているのが実際です。
  「ウチにはPC担当者もいないしよくわからないからこのままでいい」という所が一番被害が大きくなりやすく危険です。

  特に法人は「預金者保護法」の適用対象外ですので、万が一不正送金被害にあった場合は補償を受けられない可能性も十分あります。マイナンバー保護や顧客情報防衛や不正送金対策などネット犯罪から企業を守るためには人任せの根性論ではどうにもなりません。社員の認識だけではなく社長も含め全員の意識向上と現状考えうる対策を施し、業務フローも含めしっかり見直す必要があります。

  ●参考情報

  フィッシング対策協議会・・・偽装サイト情報の内容と注意喚起するサイトです。

  不正送金被害資料・・・個人・法人も含めた不正送金被害の警察資料まとめ

  日経IT Pro active記事・・・狙われるネットバンキングのツールや手法を公開

UTM機器でネットセキュリティのレベルを高める

• では、どこまでセキュリティのレベルの上げれば良いのか。ネット犯罪とセキュリティ対策は新たな案件が発生してもすぐにその穴を塞いでといういたちごっこで更新をくりかえしています。かといって何もしなければ不正アクセスと防御システムのレベル差は開く一方になるため常に更新を心がける必要があります。

  ウィルス対策ソフトでは効果の薄い部分も1台で防御できるUTM（統合脅威管理）機器を導入し、ウィルス対策ソフトと併用することで社内ネットワーク環境のセキュリティレベルを向上させることが出来ます。UTM機器はWebフィルタリングなどのシグネチャ型のセキュリティ機能とアプリケーション制御や標的型攻撃対策を組み合わせた多層防御により不正アクセスやマルウェアの脅威からブロック出来ます。

  わかりやすく言い換えると、「インターネット経由のウィルス感染を社内に入る前で防ぐ」、「外部からの社内ネットワーク不正侵入の防止」、「業務に関係のないWebサイトを社員に閲覧することを制限し業務効率の向上させる」、「迷惑メールのブロックや振り分け制御」がUTM機器1台で可能になります。

  
  
  

UTM機器の選び方

• UTM機器は複数メーカーから色々な機種が出ていますが、どの機種も「社内で接続しているPCの台数」を基準に分けられています。最小の機種でPC 5～10台タイプから10～20台、25台～、50台～と徐々に大型の機種に移行します。（接続数過多でネット通信速度を急激に落として効率低下を招かないようにする為にPCの台数が最初の基準になります。）

  UTM機器の多くはゲートウェイ型のファイアウォールをベースにしています。ファイアウォールだけを利用した場合のスループットに比べると、VPNやウイルス対策機能を追加した場合は監視箇所が増える分もう少し低下します。その為十分なスループット値を持たないUTMを導入するとデータの送受信に遅延から重く感じることが起こる可能性があり余裕を持った選択が必要です。（接続数やスループットなどはカタログや公式サイトの仕様一覧にも記載されています）

  他にもセキュリティエンジンや無線対応や遠隔サポート等の内容等も比較項目となりますが、機能を盛り込んでも使用状況に合っていない設備は効率化を図れません。被害防止のために、自社の信用低下を招かないために、従業員を守るために、どの機種が合いそうなのか一度比較検討してみましょう。相談したからといって契約しなければいけないということはありません。即決も不要です。一度ご相談ください。


見積相談