マイナンバー セキュリティ監視・監督のために特定個人情報保護委員会に新たな部門が設置


日本年金機構における個人情報漏えい事案をうけて平成27年6月22日、第22回産業競争力会議「日本再興戦略」としてマイナンバー関連の施策の提示がありました。

行政以外にも、民間企業へもセキュリティ強化についてのガイドラインが本年中に発表されることになります。

主な内容は以下のとおりです。

・現在の内閣サイバーセキュリティセンター(NISC)の情報システムの監視の対象を公的業務を行う特殊法人まで拡大する。

・マイナンバーシステムのセキュリティ監視・監督機能を十分に発揮させる観点から、特定個人情報保護委員会がGSOCと連携し新たな監視・検知体制を立ち上げる。

・マイナンバー制度における官民連携を実現する認証連携のための枠組みについて検討を行い、本年中を目途に取組方針を策定する。

・民間事業者のセキュリティ強化を促進するために企業経営上行うべき事項を明確化したサイバーセキュリティ経営ガイドラインを本年度中に策定する。

・企業の取組の見える化を通じてセキュリティ強化を促進するため、企業等におけるサイバーセキュリティ対策の取組等に係る情報開示ガイドラインを本年度中を目途に策定する。


(以下 抜粋)
日本年金機構における個人情報漏えい事案は、重要な個人情報を取り扱う政府機関等に対する信頼性を揺るがしかねないものであり、サイバーセキュリティ確保のため、基本的な対策の徹底に加え、従来の枠を超えた対策を最大限講じなければならない。このため、サイバー攻撃に対する検知・分析・対処能力や監査等について、専門性を有する独立行政法人を含め内外の専門家の叡智を結集して質・量の両面で充実・強化することにより、再発防止を徹底することとし、下記に掲げる具体的な対策を早急に講じていく。
まず、内閣サイバーセキュリティセンター(NISC)における政府機関等の情報システムに対する横断監視について、中央省庁に加え、独立行政法人や、府省庁と一体となり公的業務を行う特殊法人等についても、公平な受益者負担に留意しつつ段階的に監視対象に追加するとともに、監視手法についても高度化を図る。具体的には、政府機関・情報セキュリティ横断監視・即応調整チーム(GSOC)システムの検知・解析機能、運用体制の強化に係る方針を早急に定め、所要の措置を講ずる。
また、NISCが本年度より実施する第三者的監査について、今後、中央省庁に加え、独立行政法人や、府省庁と一体となり公的業務を行う特殊法人等も対象として、これらの法人が受ける監査に係る政府機関の方針を早急に定め、所要の措置を講ずる。
加えて、業務効率にも留意しつつ、大量の個人情報等の重要情報を取り扱う情報システムのインターネット等からの分離や政府機関等における全面的なクラウド移行を見据えた対策強化、更に各府省庁の情報システムの集約化に合わせたインターネット接続口の早急な集約化を行うことによる攻撃リスクの低減等を含む政府機関等の対策方針を早急に取りまとめる。
さらに、NISCにおいて高度セキュリティ人材の民間登用を含む一層の機能強化を進める。
マイナンバー制度の円滑な導入に向けた対策の強化
マイナンバー制度については、制度上・システム上の両面から様々な安全管理措置を講じている。例えば、各行政機関の個人情報は、これまで通り各行政機関で分散して管理され、個人情報が一つの機関において一元管理されることはない。また、各行政機関間での情報のやり取りも、マイナンバーそのものを連携キーとするのではなく、機関ごとに異なる符号を振り出し連携キーとする方針を採用しており、行政機関間を遮断する仕組みとなっている。さらに、独立した第三者機関である特定個人情報保護委員会がマイナンバーの取扱いに関する監視・監督を行うほか、万が一、正当な理由なくマイナンバー付きの個人情報ファイルを提供した場合などは、重い罰則が適用される。
これに加え、地方自治体のマイナンバーのセキュリティ監視・監督機能を十分に発揮させる観点から、特定個人情報保護委員会が、関係機関と連携し、専門的・技術的知見を有する体制を立ち上げるとともに、監視・監督方針を速やかに策定するなど、本年度中を目途に、監視・監督体制を整備する。また、総合行政ネットワーク(LGWAN)について集中的にセキュリティ監視を行う機能を設けるなど、GSOCとの情報連携を通じ、マイナンバーシステムに係る国・地方全体を俯瞰した監視・検知体制を整備するとともに、地方自治体のセキュリティ対策に関する支援機能の強化を図ること等により、マイナンバー制度のセキュリティ確保を徹底する。
さらに、マイナンバー制度における官民連携を実現する認証連携のための枠組みについて検討を行い、本年中を目途に取組方針を策定する。
これら施策を含めたサイバーセキュリティ施策の推進に当たり必要となる予算や体制についての措置を講ずる。具体的には、サイバーセキュリティ施策の推進のために追加的に必要な経費等については、業務・システム改革その他施策の見直しによる行政の効率化によって節減した費用等を振り向ける。
日本年金機構の事案は、単なる個別法人の問題ではない。政府関係機関はもちろんのこと、民間企業においても同様の事態が生じかねない危機に直面している現実と正面から向き合う必要がある。このため、民間事業者のセキュリティ強化を促進する。
具体的には、サイバーセキュリティを確保するために企業経営上行うべき事項を明確化したサイバーセキュリティ経営ガイドラインを本年度中に策定するとともに、国際標準等に基づく第三者評価・監査の来年度からの実施を推進する。また、企業の取組の見える化を通じてセキュリティ強化を促進するため、企業等におけるサイバーセキュリティ対策の取組等に係る情報開示ガイドラインを本年度中を目途に策定する。なお、サイバーセキュリティ保険の普及により、リスクファイナンス市場からの評価に関する意識が高まることが期待される。