中小企業の経営者・IT担当者向け資料です。 マイナンバー「だけ」のために情報セキュリティ関連への投資を躊躇されているならば、この機会に企業として守るべき情報を整理し、情報保護をおびやかす様々な脅威について考察してみてはいかがでしょうか。

1. マイナンバーをきっかけに
考える情報セキュリティ

2. 平成27年10月5日
マイナンバー制度施行
2
何をいまさら・・・

3. 3
おさらい：マイナンバー制度とは
 行政を効率化し、国民の利便性を高め
公平・公正な社会を実現する社会基盤。
 住民票を有するすべての人に12桁の個人番号が付される。
 H27.10よりマイナンバー（個人番号）の通知開始
 H28.1より、社会保障・税・災害対策の行政手続において
マイナンバーの告知が義務化
※H27年度の源泉徴収票にはマイナンバー記入義務なし

4. 4
個人番号＝マイナンバー
 H27.10〜11に、簡易書留にて住民票の住所宛てに
「通知カード」が送付される。 ※名古屋市は12月・・・？
 通知カードに記載される情報（基本4情報）
「氏名」「住所」「生年月日」「個人番号（マイナンバー）」
 事業者（会社、個人事業主）は、従業員やその扶養家族の
個人番号を従業員本人の提示により取得する必要がある。
 その他、個人事業主への報酬（原稿料、講演料等）に
おける支払調書に個人番号の記入が必要。

5. 5
個人番号カード（≠通知カード）
 通知カードの記載情報を元に、住民本人が申請し、各市区町
村の窓口で交付。
 （表）顔写真、氏名、住所（裏）個人番号
 ICチップ内蔵。様々な用途に活用可能。
 e-Tax等の電子証明書を搭載可能。(住基ネットはどうした・・・）
 健康保険証、印鑑登録、銀行口座？レンタル会員証？
 消費税の還付・・・？
 事業主は基本的に責任を負わないが
カードを身分証明書として扱う＝OK
カード裏面をコピーして保管＝NG

6. 6
マイナンバーの恐ろしいところ・・・
義務規定がある
刑事罰規定がある

7. 7
特定個人情報保護に関する義務規定
 特定個人情報の収集・保管、ファイル・データベースの作成は、
マイナンバー法の規定によるものを除いて、禁止。
 個人番号（従業員、業務委託先等）を取得する際には本人確認が必要。
 本人の同意があっても、本来の利用目的を超えて個人番号を
利用することは禁止。（利用目的：源泉徴収票作成、健康保険業務等）
 個人番号関係事務を外部委託する場合（税理士、社労士等）、
委託者は委託先に対して監督義務を負う。（再委託先にも！）
 法定の保管期間を経過した場合、速やかに廃棄する。
行政手続における特定の個人を識別するための番号の利用等に関する法律
（マイナンバー法） より抜粋
速やかに廃棄！

8. 8
マイナンバーの罰則規定
事業者の行為 罰則
個人番号利用事務等に従事する者が
正当な理由なく
特定個人情報ファイルを提供した場合
4年以下の懲役 or
200万円以下の罰金
上記の者が不正な利益を図る目的で
個人番号を提供・盗用した場合
3年以下の懲役 or
150万円以下の罰金
情報システムの事務に従事する者が
情報システムに関する秘密を漏えい・盗用
3年以下の懲役 or
150万円以下の罰金
4年以上は
即実刑！
法人の代表者、管理者、代理人、使用人の違反行為では、
行為者とともにその法人・事業主に対しても罰金刑が課される。

9. 9
事業者の安全管理措置義務
（A） 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体
的な取扱規程等を策定しなければならない。
特定個人情報等の適正な取扱いに組織として取
り組むために、基本方針の策定が重要。
（B） 取扱規程等の策定
（C） 組織的安全管理措置
（D） 人的安全管理措置
（E） 物理的安全管理措置
（F） 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組
織的安全管理措置を講じなければならない。
特定個人情報の適正な取扱いに関するガイドライン(事業者編) より抜粋
事特定個人情報等の適正な取扱いのために、
人的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、物
理的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、技
術的安全管理措置を講じなければならない。

10. 10
事業者の安全管理措置義務
（A） 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体
的な取扱規程等を策定しなければならない。
特定個人情報等の適正な取扱いに組織として取
り組むために、基本方針の策定が重要。
（B） 取扱規程等の策定
（C） 組織的安全管理措置
（D） 人的安全管理措置
（E） 物理的安全管理措置
（F） 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組
織的安全管理措置を講じなければならない。
特定個人情報の適正な取扱いに関するガイドライン(事業者編) より抜粋
事特定個人情報等の適正な取扱いのために、
人的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、物
理的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、技
術的安全管理措置を講じなければならない。

11. 11
事業者の安全管理措置義務
（A） 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体
的な取扱規程等を策定しなければならない。
特定個人情報等の適正な取扱いに組織として取
り組むために、基本方針の策定が重要。
（B） 取扱規程等の策定
（C） 組織的安全管理措置
（D） 人的安全管理措置
（E） 物理的安全管理措置
（F） 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組
織的安全管理措置を講じなければならない。
特定個人情報の適正な取扱いに関するガイドライン(事業者編) より抜粋
事特定個人情報等の適正な取扱いのために、
人的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、物
理的安全管理措置を講じなければならない。
特定個人情報等の適正な取扱いのために、技
術的安全管理措置を講じなければならない。

12. 12
マイナンバーで守るべき情報
キーマンズネット「マイナンバー導入時の“実務”対応」（http://www.keyman.or.jp/at/30008185/）

13. 13
この機会に
社内の情報セキュリティ全般を
真剣に考えてみる

14. 14
守るべき情報
製品機密、工法機密
従業員の個人情報
（マイナンバー法の適用外）
顧客情報
経営上の機密情報
銀行口座、クレジットカード情報

15. 15
情報セキュリティ上の「脅威」
ウィルス（マルウェア）
内部からの
情報漏えい
標的型攻撃
不正アクセスによる
攻撃・侵入
悪意のあるWebサイト
• メールの添付ファイル
• Webサイトからのダウンロード
• フィッシングサイト
• 悪性サイト→個人情報を抜き取られるお
それ
• パスワード総当たり攻撃
• 大量アクセスにより動作不能に（DDosS攻撃）
• 企業Webサイトへ不正侵入→改ざん
• ターゲットを明確に絞った攻撃
• USBメモリ、スマホ、パソコン持ち出し
• ネットワークストレージ、Webメール

16. 16
某特殊法人の事例
ファイル保管サービス
感染発覚
件名：◯◯に関する意見（試案）
詳細はこちらのリンクからファイルを
ダウンロードしてご参照ください。
http://***.***.***/***.docx
個人情報

17. 17
某特殊法人の事例
ファイル保管サービス
感染
標的型攻撃の典型例
個人情報
From：○○課 ○田○男
件名：○○関係研修資料
お疲れ様です。
添付の圧縮ファイルを開封してくださ
い。パスワードは・・・

18. 18
某特殊法人の事例
ファイル保管サービス
個人情報
個人情報
の一部
共有ファイルサーバ
海運会社
踏み台

19. 19
情報セキュリティを軽視していると
社会的信用の失墜
訴訟・賠償リスク
経営上の大きな脅威

20. 20
脅威に対する対策（技術的措置とし
て）
ウィルス・マルウェア
内部からの
情報漏えい
標的型攻撃
不正アクセスによる
攻撃・侵入
悪意のある
Webサイト
• パソコンへのセキュリティソフトインストール
• 水際でのウィルス検知・隔離
• 「ブラックリスト」にあるサイトへの接続不可
• Web閲覧制限（カテゴリーによる制限）
• ファイアウォールによるアクセス制限
• 不正アクセス（っぽいもの）を検知
• 不正アクセス（と断定できるもの）を遮断
• ↑↓の技術の組み合わせで対処
（根本的な解決は難しい・・・）
• USBメモリ等のデバイスを無効化
• ネットワークストレージやWebメールへの
接続不可

21. 21
技術的措置①インターネットアクセス
Internet セキュリティ
ソフト
ファイアウォール ウィルス検知
不正侵入検知(IDS)
不正侵入遮断(IPS)
Webサイト制限

22. 22
技術的措置②内部での情報取扱制限
 ファイルサーバ等へのアクセス権限の管理
 認証技術の採用（ICカード認証、指紋認証等）
 USBメモリ等の外付けデバイスの使用不可にするソフトウェアの導入
 登録外のパソコンや無線機器の接続不可にするソフトウェアの導入
 ファイル暗号化ソフトウェアの導入
これらと組織的・人的安全措置の合わせ技で対処する。
 会社所有のUSBメモリ等の使用許可制
 システムルーム等への入室許可制
 アクセスログの取得→アナウンス効果

23. 23
情報アクセス管理①物理的に分断
担当者
保護対象
データ
不便！
LANから完全に切り離す
Internet

24. 24
情報アクセス管理②論理ネットワーク分割
保護対象
データ
総務部営業部
ネットワークセグメント分割
ルータ/L3スイッチ
内部犯行は止められない

25. 25
究極の方法：仮想デスクトップ
コスト大！
「5分で絶対に分かる仮想デスクトップ／VDI」http://www.atmarkit.co.jp/ait/articles/1408/19/news033.html
データが端末に無いので
抜き取れない！

26. 26
セキュリティ
コスト
利便性
セキュリティとコスト・利便性はトレードオフ
実務において何を重視するか
限られたコスト内でできることは何か

27. 27
複数のセキュリティ機能を1台でまかなう
UTMという選択肢

28. 28
UTM（Unified Threat Management＝統合脅威管理）
フ
ァ
イ
ア
ウ
ォ
ー
ル
不
正
侵
入
ブ
ロ
ッ
ク
ウ
ィ
ル
ス
ブ
ロ
ッ
ク
Ｗ
Ｅ
Ｂ
フ
ィ
ル
タ
リ
ン
グ
セ
グ
メ
ン
ト
分
割

29. 29
UTMのサンドボックス機能
未知の脅威も未然に防ぐ

30. 30
パソコン上のセキュリティ
このページは未作成
• 資産管理
• USBデバイス等の無効化
• 管理外デバイスの接続不可
• ファイルの暗号化
→AssetViewの機能につなげられるように

31. 31
まとめ
 情報セキュリティの確保は、健全な経営遂行のために必要
である。
 強固な情報セキュリティの実現には高いコストが必要であり、
利便性を犠牲にする可能性がある。そのため何に重きをお
き、どの程度のセキュリティ措置を実施するかの判断が必
要である。
 技術的・物理的安全措置だけでなく、組織的・人的安全措置
を同時に実施することで、より強固な情報セキュリティを確
保できる。

32. 32
ご清聴ありがとうございました