企業を対象としたマイナンバー制度への対応レベルに関する調査
マイナンバー導入に向けた最大の課題は社内での周知と教育

~ 10月から始まる番号通知を前に、部門間での情報共有や社内教育の不備が鮮明に
セキュリティ対策の“サイロ化”で組織がサイバー被害の加害者になる可能性も ~

2015年9月28日

インテル セキュリティ(日本での事業会社:マカフィー株式会社、所在地:東京都渋谷区、代表取締役社長:ジャン・クロード・ブロイド)は、国内企業のビジネスパーソンを対象に実施した「マイナンバー制度への対応レベルに関する調査」の結果を発表しました。この調査は、インテル セキュリティが2015年6月上旬から提供している、Web上で簡単にマイナンバー制度に向けたセキュリティ対策の準備状況を診断できるツール「マイナンバー セキュリティ診断」を通じて回答のあった約600件のデータを集計し、取りまとめたものです。

日本では、2015 年10月からマイナンバー制度の施行および個人番号の通知開始が予定されており、社会保障や税、災害対策の分野での行政の効率化や、国民の利便性の向上が期待されています。マイナンバーは、政府や地方自治体に加え、民間企業も従業員の社会保険などの手続きや取引先情報の管理に活用するなどさまざまな部門の幅広い分野で活用が見込まれており、さらに、2018年からは個人の預金口座などへの適用拡大も予定されています。マイナンバーや関連情報の管理・運用には、行政機関のガイドラインに定められた安全管理措置の実施が求められており、情報を漏えいした場合には、法律で定められた罰則や、信用の低下、高額な損害賠償などのリスクも想定されます。

企業規模を問わず、マイナンバー制度に関する教育やトレーニングが不足しているという結果に
今回の調査では、企業の取り組み状況のなかでも、特にマイナンバー制度に関する教育やトレーニングの不足が顕著であることが明らかになりました。マイナンバーを取り扱う際の教育や社内情報共有の仕組みに関して、「社内教育」、「全従業員向けの社内トレーニング」、「マイナンバー取り扱い状況把握のための体制」の整備・計画について、対応済みまたは着手中と答えた回答者は、いずれも全体の20%以下にとどまっています。企業の規模が小さくなるほどこの割合は低くなっていますが、従業員5,000人以上の大規模企業でも、その割合はわずか30%前後にとどまっています。この結果は、企業の組織・人的対策が大きく遅れていることを表しており、経理や総務だけでなく、営業担当者も顧客や取引先のマイナンバーを取り扱うことから、全部門的な取り組みやリテラシーの強化が急務であるとインテル セキュリティでは考えています。そして、適正なマイナンバー情報の管理がなされなかった場合、法律による罰則もあることから、自らの組織がサイバーセキュリティ被害の加害者になる可能性も念頭に、組織・人的対策の整備を進めるべきであると考えています。

外部からの脅威対策に比べ、内部からの情報漏えい対策が不十分
また調査によると、外部からの脅威に対して情報を保護するためのネットワーク経由の不正アクセス対策やファイアウォールによる通信制御に関して、回答者全体の50%以上が対策済みまたは着手中であると答えた一方、暗号化によるデータ保護や内部からの不正なデータ送信の監視など、内部からの情報流出への対策について、対策済みまたは着手中であると回答したのは、いずれも全体の約1/3程度でした。この結果に対し、外部からの攻撃だけでなく、近年企業活動で問題となっているような内部からの情報漏えいに対しても十分に対策を取るべきであるとインテル セキュリティでは考えています。

結論:マイナンバー制度の開始を契機として、マイナンバー向けセキュリティ対策には、情報ライフサイクル全体を通じた組織全体での取り組みが必要
今回の調査では、マイナンバーに向けて外部からの脅威に対する技術的対策には一定の進捗が見られる一方、同じ技術的対策でも内部からの情報漏えい防止に向けた取り組みや、マイナンバーを記録したメディアや書類の取り扱いに関する物理的な取り組みが大きく遅れているなど、セキュリティ対策の“サイロ化”の実態が明らかになりました。特に、組織・人的対策の分野では、従業員や部門を横断した教育やトレーニングの機会が企業規模を問わず大幅に不足しており、さらなる“サイロ化”に拍車をかけています。

マイナンバー制度の開始は、組織のセキュリティ対策を見直し、さらに強化するための大きな契機となるものですが、今回の調査結果からは、組織がその機会を十分に活用できていないとインテル セキュリティでは考えています。そして、物理的対策や技術的対策だけでなく、マイナンバーなどの重要情報の管理には、教育や啓発などの人的・組織的な対策が不可欠であることから、情報の取得から管理、廃棄に至るまでの情報ライフサイクル全体を通じた、組織全体での取り組みが必要となります。さらに、将来的にマイナンバーの活用領域が拡大していくことが予定されているなか、組織内の担当者だけでなく、全従業員が当事者意識をもって情報管理体制の整備、順守を実践することが必要です。

主な調査結果は以下の通りです。なお、質問や回答の詳細については別添資料をご参照ください。

【調査結果(抄)】

組織・人的対策

物理的対策

◆ 技術的対策

総合判定の結果

これら3つの分野での進捗をポイント化し、インテル セキュリティの設定した一定基準のもと5段階(A-E、Aが最高)でマイナンバーに向けた取り組み全体の進捗を評価した結果、A評価を獲得したのは、全体のわずか5.12%でした。特に小規模企業(~249名)では、その割合はさらに低く、3.29%のみにとどまっています。一方で、マイナンバーに対する取り組みが非常に遅れていると評価された割合(D・E評価の割合)は、回答者全体で66.33%、特に小規模企業(~249名)では、75.33%にも上っています。

Web上で簡単にマイナンバー向けセキュリティ対策レベルを確認できる「マイナンバーセキュリティ診断」
「マイナンバーセキュリティ診断」は、全11問で構成され、マイナンバー関連情報の運用に必要とされる安全管理措置のガイドラインに沿って、「組織・人的対策」、「物理的対策」、「技術的対策」の3つの分野で、セキュリティ対策の対応度を判定する設問を用意しています。回答結果に応じて3つの分野ごとにマイナンバー制度向けセキュリティ対策に関するアドバイスを提供するほか、総合的な対応度をA~Eの5段階で判定します。これにより、組織の担当者は、自社のマイナンバー制度への対応状況を適切に把握できるだけでなく、今後取り組むべきセキュリティ対策などについて確認することができます。この「マイナンバーセキュリティ診断」などを通じて、インテル セキュリティでは、企業がマイナンバー関連情報を安全に管理、運用するための取り組みを支援します。「マイナンバーセキュリティ診断」は下記URLよりご利用いただけます。
http://mcafee-mynumber.jp/

また、マカフィーでは、マイナンバー制度開始に伴うセキュリティリスクや、地方公共団体・民間企業向けにマカフィーが提供するマイナンバー向け総合セキュリティ対応ソリューションの詳細を下記URLでも紹介しています。
https://japan2.secureforms.mcafee.com/prm-001-lp

さまざまな規模の企業のマイナンバー対策ニーズに応えるSecurity Connected戦略
マイナンバー制度に関するさまざまな規模の企業のセキュリティ ニーズに応えるため、インテル セキュリティでは、情報漏えい対策だけでなく、標的型攻撃などの外部からの不正アクセスに対応した脅威対策ソリューションまで、マイナンバー関連情報の運用の安全性を高めるためのソリューションを提供します。現在、組織を取り巻く脅威はますます高度化、複雑化しており、ポイントごとに配置されたセキュリティ ソリューションですべての脅威から保護することは困難になっています。インテル セキュリティが提唱するSecurity Connected戦略のもと、情報漏えい対策から暗号化ソリューション、次世代ファイアウォール、セキュリティ情報/イベント管理ソリューションまで、さまざまなセキュリティ製品を多層的に組み合わせることにより、セキュリティ対策をさらに強化できます。

【調査概要】

■インテル セキュリティについて

インテル セキュリティは、インテル コーポレーション(本社:米国カリフォルニア州)のセキュリティ事業部として、同社のセキュリティに関する取り組みを推進しています。企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評あるセキュリティソリューションやサービスを提供しています。そして、Security Connected戦略、セキュリティにハードウェアを活用した革新的なアプローチ、また独自のGlobal Threat Intelligenceにより、常に全力でお客様の安全を守ります。詳しくは、http://www.mcafee.com/jp/ をご覧ください。

インテル セキュリティでは、セキュリティに関するさまざまな研究成果や調査結果をweb上で公開しています。詳しくは下記ページをご覧ください。
http://www.mcafee.com/jp/threat-center/report/index.aspx

McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。Intel、インテルは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。 (C) 2015 McAfee, Inc. All Rights Reserved.

■別添資料
<組織・人的対策に関する設問>

質問 : 組織体制の整備について、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)

質問 : マイナンバーを取り扱う際の教育や社内情報共有の仕組みについて、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)

<物理的対策に関する設問>

質問 : メディアの持ち出しにかかわる防犯対策について、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)

質問 : 機器や書類の管理などにかかわる防犯対策について、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)

<技術的対策に関する設問>

質問 : 外部からの不正アクセス防止について、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)

質問 : 内部からの情報漏えい防止について、対応済みまたは着手中の項目すべてにチェックをしてください。(複数回答)