◆マイナンバーは「実印」／個人情報保護レベルアップを／個人番号の通知まで、あと1カ月半

　マイナンバー制度の施行まで半年もない。１カ月半後の１０月には個人番号の通知が始まる。
　こんな時期に、「マイナンバーは『実印』」などの指摘もされている。

　それとは別に、役所や公的団体のセキュリティの問題は看過できないこと。
　自治体側は、国が何とかするだろう、という雰囲気。

　では国は、というと、総務省は８月１２日、「自治体情報セキュリティ対策検討チーム」の第３回会合を開いた。（ブログで概要にリンク）

　このことについて、「IT Pro　ニュース」は、次のように伝えている。
　★《日本年金機構に対するサイバー攻撃による個人情報流出事件などを受けて、マイナンバー制度の最前線を担う地方自治体のセキュリティ対策見直しを検討してきた。8月下旬までに自治体に中間報告が指摘する対策を周知する。》

　なお、厚生労働省は８月１８日、「入院患者マイナンバーで手続き依頼。８月２４日から医療機関での受け取り申請開始」とした。（詳細にはブログ下記でリンク）

　いずれにしても、マイナンバーは中止した方が無難、と思うのが自然だけど、もっと違う外圧もあるのだろう、か・・・・・

　ということで、読売の《流出対策自治体まだまだ…マイナンバーの情報管理》《マイナンバー制度が１０月にスタートするが、膨大な個人情報を扱う地方自治体のセキュリティーは十分なのだろうか。》の指摘や、民間の動きなどを記録した。

●人気ブログランキング　=　今、１位
人気ブログランキング参加中。気に入っていただけたら　↓１日１回クリックを↓
　★携帯でも　クリック可にしました　→→　携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「１０点」　←←
　★パソコンは　こちらをクリックしてください　→→←←このワン・クリックだけで１０点

●総務省／ 自治体情報セキュリティ対策検討チーム 　　　　　　　総務省／ 自治体情報セキュリティ対策検討チーム 　　平成27年度担当部局　自治行政局 　総務省では、マイナンバー制度の施行を半年後に控えた中で、今般の日本年金機構における個人情報流出事案を受け、地方公共団体における情報セキュリティに係る抜本的な対策を検討するため、自治体情報セキュリティ対策検討チームを開催します。 　　★第3回会合　平成27年8月12日 議事 (1)自治体情報セキュリティ緊急強化対策について（案）　　～自治体情報セキュリティ対策検討チーム　中間報告～ (2)その他 　★第3回　8月12日　中間報告 １４ページ　　　　　　　(図をクリックすると拡大）

●マイナンバーは「実印」　個人情報保護レベルアップを
　　　　　　　 シルバー新報 (2015/07/30)>
　介護事業所は利用者支援必要
　国民一人ひとりに番号が付与され、社会保障、税金、災害対策の手続きのみに使用されるというマイナンバー。今年１０月に個人番号の通知が始まり、来年１月から利用開始となる。本紙が２４日に主催したセミナーで、福祉規格総合研究所の山本伊都子氏は、「マイナンバーは実印」として、日ごろ、利用者の個人情報が記載された書類を扱い、持ち歩くことが多いケアマネジャーやヘルパー、介護事業所に、個人情報の管理と安全対策を強化することを強調した。運用面では決まっていないことも多く、会場からは多くの不安が寄せられた。 （以下略）

●入院患者マイナンバーで手続き依頼　8月24日から医療機関での受け取り申請開始／厚生労働省
　　　　　最新臨床ニュースをm3.comが配信　2015年8月18日
2015年10月5日に始まるマイナンバー制度に関して、厚労省はこのほど、日本医療法人協会に対し、通知カードを入院先で受け取る患者の事務手続きを進めるよう依頼する通知を出した。制度開始時以降少なくとも11月末までは入院している見込みがあって、かつ入院期間中は住民票の住所に誰もいない患者については、通知カードを医療機関・施設宛に簡易書留で郵送する必要があるため、8月24日から9月25日までに「居所情報登録申請書」を市町村へ郵送または持参するよう協力を求めている。居所情報登録申請書の登録が必要なのは、・・・

●流出対策自治体まだまだ…マイナンバーの情報管理
　　　　　　　　読売　2015年07月30日
▼マイナンバー制度が１０月にスタートするが、膨大な個人情報を扱う地方自治体のセキュリティーは十分なのだろうか。
日本年金機構へのサイバー攻撃を機に、総務省が調査したところ、住民情報や自治体事務を扱うネットワークをインターネットから完全に分離している自治体は１割弱に過ぎないことが分かった。分離すれば情報流出の危険は減らせるが、一方で高いコストも予想されるなど課題は山積している。

▼年金機構の事件機に
「『基幹系』や『情報系』のネットワークはインターネットから分離してますか」

総務省が全国１７８９の都道府県と市町村に緊急調査を実施したのは先月下旬。年金機構の情報流出事件が発覚した約３週間後のことだ。

自治体では、税や福祉などの住民情報を扱う「基幹系」と、自治体事務を行うための「情報系」のネットワークをもつ。
一方、今やウェブサイトやメールは業務に不可欠で、何らかの形でインターネットとも接続しているが、それはサイバー攻撃の脅威と背中合わせでもある。
情報系をインターネットに接続させ、ウェブ閲覧やメール送受信に使う一方、基幹系とも接続している自治体もあるが、ウイルスが侵入すれば、情報系を経由して基幹系に侵入し、住民情報を流出させる恐れがある。

こうした危険を避けるため、政府は重要情報を扱うシステムをインターネットから分離する方針に転換しつつある。

だが、総務省の今回の調査結果（速報値）によれば、自治体で完全に分離しているのは７％。大半の自治体は何らかの形でインターネットと接続している。
総務省は「それぞれ攻撃対策は講じているので、この結果だけで即危険とは言えないが、マイナンバー制度で重要情報のやりとりが増える中、見直しが必要」という。

▼「標的型」想定せず
年金機構事件の後、同省は全国のセキュリティー責任者を集めて緊急会議を開いたほか検討チームも発足。焦る背景には、予想以上の自治体セキュリティーの遅れがある。

同省では２００１年から自治体向けガイドラインを作り、各自治体にそれに準じたセキュリティーポリシー策定を求めている。
だが、ガイドラインは情勢の変化に応じて４度も改訂されたのに、市町村の４割以上は一度も見直しをしていない。策定さえしていない市町村も３８もある。
年金機構の情報流出のきっかけとなった標的型攻撃の対策も、大半の市町村のポリシーには反映されていない。

ポリシーを作っても、守られているのかどうかは分からない。総務省の調査では、ポリシー順守について自己点検している市町村は４５％、外部または内部のセキュリティー監査を行っているのも４０％にとどまる。３２％の市町村は自己点検も監査も行っていない。

▼費用低減へ工夫必要
手作業に戻る？
総務省では８月中にもネットワーク形態見直しなど何らかの提案をする予定だが、自治体からは反発も出ている。

調査に「未分離」と回答した関東の自治体幹部は「完全分離のためには専用回路をひき直したり、端末を増やしたりしなくてはならず、１億円以上かかる」と頭を抱える。

「行政事務が２０年前の『手作業』の時代に逆戻りするのでは」と心配する自治体もある。例えば現在は基幹系にある住民情報を情報系に移して卓上のパソコンで加工している住民へのお知らせ文書。「分離したら、基幹系にある情報を印刷し、紙を見ながら打ち直さないといけないのでは」と戦々恐々とする。

▽
総務省の検討会メンバーでもある上原哲太郎立命館大教授は
分離ありき』の考え方で業務が回らなくなっては本末転倒。低コストで安全なシステムを作るために工夫が必要だ」として、京都府宇治市のケースを例に挙げる。

１９９９年に住民情報が流出した苦い経験をもつ宇治市では、０２年にインターネット系と、基幹系・情報系の入った業務系ネットワークを分離。
一方で、コストを抑えるため、同じパソコンの中でネットワークを切り替える手法をとった。認証カードを挿入し、ＩＤパスワードを打ち込むと数分でネットワークが切り替わる。人口１９万人の同市の場合、認証カードのシステム導入に約５０００万円、その後の補修に年約７００万円かかるが、物理的に完全な分離をするよりはるかに安いという。

▼プライバシー中心
そもそもマイナンバー制度の監視監督はプライバシー保護の観点を中心に考えられ、セキュリティー対策の視点はどちらかといえば薄い。

同制度を監督する行政委員会「特定個人情報保護委員会」も、国や地方自治体が個人情報を悪用しないように監督するという考え方で設置され、年金機構の件が起きるまでは外部からの悪意ある攻撃はあまり想定されてこなかった。

政府は今回の事件を受けて、委員会に数十人規模のセキュリティー部門を設けることを決めたが、人材をどう集めるかなど詳細はまだ決まっていない。

内閣官房で番号制度の補佐官を務める楠正憲氏は「海外でも、個人情報保護のための第三者委員会はプライバシー面での取り組みが中心で、セキュリティー面の取り組みは少ない。保護委員会だけでなく、総務省なども含めて自治体のセキュリティーを支えていく必要がある」としている。（編集委員 若江雅子）

●「マイナンバー商戦」はここまで沸騰している　個人番号の通知まで、あと1カ月半
　　　　　　　　　　　東洋経済オンライン　 2015年08月15日藤尾 明彦 ：ニュース編集部 記者
　今年10月から個人番号が通知され、2016年1月からは企業が従業員の源泉徴収票を作成する際にマイナンバーを記入する必要が生じるなど、さまざまな場面で運用が始まる予定だ。国や地方自治体のシステム改修はほぼ終了しており、これからは民間企業の対応が本格化する。

とはいえ、ベネッセコーポレーションの顧客情報漏洩事件を例に挙げるまでもなく、マイナンバーが漏洩した際の痛手は甚大である。また、故意に情報を漏らすと懲役4年以下、もしくは罰金200万円以下の刑事罰が科せられる。企業としては、マイナンバーを扱う担当者を明確にする必要があり、当該者には重圧がのしかかる。

市場規模は1兆円とも
そこでにわかに盛り上がり始めているのが、マイナンバーの関連ビジネスだ。たとえばNECは、昨年12月から企業向けセミナーを70回以上開催。会場はつねに超満員で、個別でも150社以上に説明会を実施してきた「市場規模は官民合計で1兆円程度。このうち6～7割を民間が占める」と、富士通総研の榎並利博・主席研究員は分析する。

しかも、マイナンバーは今後、法改正により民間でも活用できる可能性が広がっていく“変化する制度”だ。銀行預金口座や医療情報をマイナンバーに「ひも付け」する案も検討されており、将来的には市場規模がさらに拡大すると見る向きは多い。
・・・・・・・・・・・（略）・・・
派生ビジネスも続々と

マイナンバーは、アルバイトや自社外の個人事業主への給与・報酬支払いに際しても、提供してもらう必要がある。そのため、アルバイトの出入りが激しいコンビニや外食産業、多くの出演者を使って番組を制作するテレビ局、外部のライターに原稿執筆を依頼する出版社などでは、作業が煩雑となり、外注ニーズも高まるとみられる。

ただ、自社の社員とその家族以外のマイナンバーまで収集・管理するとなると、対応プロセスはさらに複雑化する。そこで派生ビジネスも続々出てきている。

富士通は、業務プロセスの見直しや情報セキュリティ規定の策定など、コンサルティングサービスを実施。システム担当者だけではなく、一般社員向けにもマイナンバー制度の教育事業を行う。

また、東証マザーズ上場のITbookは、数種類ある企業のサービスの中から、どれがその企業に本当に適しているかなどを、月300万～400万円で助言するサービスを展開している。

一般的に、日本の経営者はこれまで、直接利益を生みにくいセキュリティシステムへの投資に関心が薄い、といわれてきた。しかし、国策によりいやが応にも踏み込んだ対応が求められることで、意識改革が促されそうだ。

「ずっと付き合ってきたシステム業者のマイナンバー対応に不満を感じた会社が、当社に相談を持ち込んできた例もある」と打ち明けるのは、野村総研の渋谷氏。これまでのなれ合いの関係に変化が見られるとも指摘する。

マイナンバー導入を機に、システム全体の見直しにまで着手する企業が出てくれば、ベンダーの勢力図が変わる可能性もありそうだ。

●マイナンバー見据え専門人材組織化で自治体のサイバー攻撃対策支援、総務省
　　　　　　　　IT Pro　ニュース　 2015/08/12清嶋 直樹＝日経コンピュータ
　総務省は2015年8月12日、「自治体情報セキュリティ対策検討チーム」の第3回会合を開き、中間報告を発表した。

　日本年金機構に対するサイバー攻撃による個人情報流出事件などを受けて、マイナンバー制度の最前線を担う地方自治体のセキュリティ対策見直しを検討してきた。8月下旬までに自治体に中間報告が指摘する対策を周知する。

　中間報告は、地方自治体ではセキュリティ対策にかけられる予算や人材に限りがあることを踏まえた。そのうえで、自治体間の連絡体制や情報共有を徹底したり、サイバー攻撃監視機能を集約したりすることを掲げている。

　具体策として、総務省が主導してインシデント情報の共有と対応能力向上を支援する「自治体情報セキュリティ支援プラットフォーム（仮称）」の創設を明記した。あらかじめ、民間のITベンダーやセキュリティ企業の専門人材をネットワーク化しておく。自治体の担当者がインシデントの発生やセキュリティ対策上の質問などの情報をプラットフォームに投稿すると、専門人材がアドバイスや回答を返す（写真2）。

　このプラットフォームは秋口の運用開始を予定。既にセキュリティ専門人材の登録などの準備を進めている。検討チームの座長を務める佐々木良一東京電機大学未来科学部教授は、「自治体のサイバー攻撃対応能力を向上させるには時間がかかる。できるだけ早期に多くの自治体に参加してもらい、継続的に能力向上を図れるようにしたい」と説明した。

　最終報告の時期については、「検討するべき項目が多く、サイバー攻撃が次々と発生するなど流動的な要素もあるが、マイナンバー制度施行前の2015年内をメドに取りまとめたい」（佐々木教授）としている。

●首都圏の自治体、マイナンバー準備に熱
　　　　　　　　　2015/8/13 日本経済新聞
首都圏の自治体が社会保障と税の共通番号（マイナンバー）制度の準備に追われている。2016年１月からの運用開始を控え、各自治体は12桁の個人番号を記載した通知カードを10月から住民に送る。事前の事務作業のための態勢づくりを進めるほか、住民への周知徹底や問い合わせの対応も急いでいる。

　東京都杉並区は９月、マイナンバーに関する問い合わせに対応する電話窓口を設ける。通知カードを10月に一斉送付する作業に…

●【知りたい！　マイナンバー（３）】企業の備え不十分　７７％が「どう対応すべきかわからない」
　　　　　　　　　　　産経　2015.8.13
　Ｑ　制度開始で企業が取り組むことは
　Ａ　制度開始は来年１月だが、企業は１２桁の個人番号が記された通知カードが各世帯に届く今年１０月から、従業員と扶養家族の番号を集める必要がある。源泉徴収票など税務関係の書類や社会保障関連の申請書などに番号を記載することになるためだ。契約社員やアルバイトの番号も記載することになるので、事務負担がかなり増える。

　Ｑ　気をつける点は
　Ａ　集めた番号が、従業員本人の番号かどうかの確認が求められる。来年１月から自治体窓口でもらえる顔写真付きの個人番号カードを持っていれば確認できるが、持っていない従業員に対しては免許証などで確認が必要。また、企業は番号を厳格に管理しなくてはならず、マイナンバーを取り扱うための基本方針と取扱規程を定め、関連事務の担当社員を限定する必要がある。

　Ｑ　対応は進んでいるのか
　Ａ　７月にミロク情報サービスが公表したアンケート結果では、７７％の企業が「どう対応すべきかわからない」としている。特に情報が流出した場合、企業に重大な過失があれば、罰則を科される恐れがあるが、制度開始まで半年を切り、備えが十分でないことが浮き彫りになっている。

　Ｑ　マイナンバーで新ビジネスは生まれるか
　Ａ　情報システムの改修需要が生まれるほか、中小企業向けの番号管理代行サービスなどが想定されている。官民合わせたシステムの市場規模は３兆円ともいわれており、ＩＴ（情報技術）企業にとっては「特需」ともいえる。