第22回北海道情報セキュリティ勉強会 レポート 「今さら聞けないマイナンバー&改正個人情報保護法:シス管の立場から」 #secpolo

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカ・コーラが大好きなカジです。

2015/9/26(土)に行われた第22回北海道情報セキュリティ勉強会(通称:セキュポロ)に参加してきましたのでレポートします。

今回の勉強会は、「今さら聞けないマイナンバー&改正個人情報保護法 ~シス管の立場から」をテーマに、マイナンバーとは何か、そしてマイナンバーを預かるうえで企業担当者として気をつけるべきことについて、立命館大学 情報理工学部 情報システム学科 上原哲太郎先生のお話を聞きました。

今月に入ってマスコミなどで多く取り上げられて、ぼんやり知っていたマイナンバー制度ですが、知らないこと沢山あったのでレポートします。

Sesson1 そもそもマイナンバーってなんだっけ?

  • マイナンバーって知ってますか?
  • マイナンバーがあなたに届いたらまず何をやらないといけないかご存知?
  • 「住民票コード」覚えてますか?

(しっかり理解しておらず答えられない・・・)

  • 2011年に番号制度法(マイナンバー法)成立
  • マイナンバーという名前は民主党政権下の時にアンケートで決まった
  • 10/6から書留で届くのはマイナンバーカードでは無く通知カード
  • 通知カードを市役所に持っていくとマイナンバーカード(個人番号カード)がもらえる

年金、雇用保険、医療保険、税務、被災者生活再建支援金に利用するための個人番号カードを配布 (現在のところ、この用途以外は利用しない)

個人はマイナンバー(個人番号)を以下のところに伝える必要がある

  • 勤務先や給与・謝金などを受け取る先(≒源泉徴収される先)
  • 保険会社・証券会社(≒年末調整が必要なところ)
  • 子供がいる場合は児童手当の現況届時に市町村に
  • 厚生年金の支給開始時に裁定請求のため、年金事務所に

法人としては

  • 関係先から、個人番号を集める  本人確認義務がある
  • 法定調書作成時に書き込む必要がある

住基カードはしばらく使えるが、廃止されマイナンバーになる。

住民票コードとマイナンバー(個人番号)の違い

  • 住民票コードは、住民票基本台帳に記載される
    • 自治体間、自治体と国で利用
    • 引っ越しの場合に自治体間で利用
    • 国はパスポート、年金で利用
  • 個人番号は国が利用
    • 個人番号を情報連携には使わない
    • 利用状況をマイナポータルで監視可能

余談:マイナンバー番号のチェックデジット

  • 11桁が番号が本物、12桁目はチェックデジット
  • 誤記載防止のためチェックデジットの計算式が公表されているので、それでチェックする必要もある
    • この計算式は官報にも掲載。官報は縦書きなので、計算式がどう書かれているのか、気になる人はチェック
    • どこがおかしいか?
    • 計算結果が10と11は0となる?(数学苦手なので、私はまだ理解できてません。)
    • 他の数字に比べて2倍の確率で存在することになる?(数学苦手なので、私はまだ理解できてません。)
  • ISBN10のチェックデジットにそっくりだがちょっとだけ違う
    • 10の時はXと表記

マイナンバー制度における情報連携

  • 国家がすべて監視できないように、一時利用しかできないよう複雑なシステムになっている
  • マイナンバーの各省庁の問い合わせのログが、マイナポータルで閲覧できる

個人番号カードは表面は身分証明書としてコピーを取ることは可能。マイナンバーが書かれている裏面のコピーを取ると違法。

よく聞かれる不安論

  • 「番号」と「なりすまし」
    • 「識別」につかうもの、「認証」に使うものではない。
    • 認証は不可能。
    • マイナンバーはパスワードじゃなくID
  • 「認証」に使うのは、「写真入りマイナンバーカード」を使う
    • 写真入り公的身分証明書として利用
    • 番号のみの利用は違法
    • 免許証の代わりになるし、公的個人認証JPKIの電子証明書も格納

休憩 おやつタイム

セキュポロのおやつはいつも最高です。 22th-secpolo

悪用対策・漏洩対策として

  • 利用目的を法で規定されている
  • 個人番号漏洩時は、番号変更可能
  • マイナポータルで本人が利用状況を確認

マイナンバーによって危険性が増すわけではない。 分散管理なので今までとリスクは変化していない。

  • 罰則
    • 故意の提供は懲役4年、不正取得は懲役3年
    • 個人情報保護法には公務員を除き罰則はない (知らなかったぁ。)
  • 個人情報保護委員会から監査をうけるようになるため、セキュリティ向上に期待
    • 個人情報保護委員会=公正取引委員会や、国会公安委員会と同格
    • 監査結果もWeb公開されている。個人情報保護委員会のWebで評価結果 -自分の身近な自治体で検索して「全項目評価」の評価結果を開くとシステム図など色々な情報が掲載されているので興味深いです。

Sesson2 「企業情報システムのシス管は何をしなきゃいけないんだっけ?」

  • 個人番号は取り扱いをはじめると、安全管理措置が必要

余談:法人番号は利用制限なし

  • 取引先コード、債権者コードが共通にできる
  • ファイルとしてのダウンロードも可能予定
  • APIで公開される予定

個人のメリットはあるのか?

  • 社会保障給付申請時に「所得情報」の提供が不要
  • H29.1からマイナポータルの運用が開始

マイナポータル(情報提供等記録開示システム) - 自分の情報表示 - 誰が情報を取得したか、取得用途を確認 - 将来的に国からのお知らせ

個人の資産は丸裸になるの?

  • 所得は取集される
  • 資産情報(預貯金残高、投資残高)は任意
  • 今後利用範囲の拡大議論がおきたときは不透明

副業バレ問題!!

  • 関係なし。脱税している人は、バレる可能性がある

民間活用が危険なのか?

  • なりすましの危険
  • 個人情報漏えいの危険
  • 名寄せのコストが劇的に下がる(望まない利用をされる危険)

本人に、断りなく第3者へ提供することを防ぐ必要がある。

番号の漏洩で何が怖いか?

  • 結びつき
  • 使われ方
  • ほかの番号と結びつけられたのはいつか?
  • 民間へ提供するときは、この思想も引き継がなければならない

番号を共通にすると「名寄せ」が止まらない(番号を利用する話になっているのがオカシイ。)

認証フェデレーションで良いはず。(フェデレーションは、OAuthでおなじみ。学術認証フェデレーションがあるよ。)

小さな機関には関係ない話ではない!!

  • 搾取したい人は、直接「本丸」を狙わず、外部から攻める。
  • 協力会社から攻めてくる

では何をやらないとダメなのか?

個人情報保護委員会のガイドライン事業者編がバイブル。ISMS的な内容

  • 物理的安全管理措置
  • 技術的安全管理措置

最も必要なこと

取得・保管・利用・提供・破棄のプロセスに沿って、ワークフローを整備

業務上必要な人だけが個人番号を扱うよう徹底

よくあるピラミッドで集める(事業所毎の担当者を決めて集める)と、その担当者も責任を担うことになるのでさけたほうが良いかも。

  • 最初は大変だが、個人番号を集める
  • 別なID(社員番号など)結びつけるリスト作成
  • 金庫に保管 (新規登録、更新毎に取り出し)
  • 法定調書を作るときだけ取り出して利用

その他のポイント

  • 給与などと一緒にデータベースで扱わないようにして、漏えい時のリスクを減らす。
  • 退職者が発生して場合は、1年程度保持が必要。退職し利用・保管義務がなくなる時点で削除が必要。 (バックアップまで削除しなければならないので注意
  • 個人情報と別のデータベースにする。出来ればサーバーを分ける。

スライド

上原先生がスライドを公開ありがとうございます。 「今さら聞けないマイナンバー ~シス管の立場から」

併せて読みたい

togetter 第22回北海道情報セキュリティ勉強会(せきゅぽろ) #secpolo まとめ

JULYの日記 上原先生はレアキャラ?(注:あちこち飛び回っていて捕まらない)