2022年11月、デジタル庁から発表された「マイナンバー法の改正事項」に基づいて、マイナンバーの利用範囲の拡大が予告されています。マイナンバーカードの申請を求められる機会も増えている中で、企業のセキュリティにはどのような影響があるのでしょうか。マイナンバー法改正に伴って、企業のセキュリティにも変革が求められます。
この記事では、マイナンバー法改正の内容やマイナンバーに関する現状について解説し、企業に求められるセキュリティ対策について解説します。
2023年マイナンバー法改正で拡大される利用範囲
現在マイナンバーの利用範囲は、「税」「災害対策」「社会保障」という3つの分野に限定されており、その他の分野での利用は制限されています。身分証として運転免許証や健康保険証がある以上、わざわざマイナンバーカードを取得せずに済む場面が多く、マイナンバーカードを利用できる場面も限られ、取得する必要性を感じられず普及率が思うように上がらないという見方が一般的でした。
2023年マイナンバー法改正では、マイナンバーの利用範囲が大幅に拡大される予定です。法改正に伴って利用範囲が拡大されるのは、主に「国家資格」「自動車登録」「在留外国人の行政手続き」の3つの分野です。行政書士や教員免許などの国家資格をマイナンバーと紐づけることで、マイナポータルを利用して資格を証明できる仕組みが作られます。自動車登録もマイナンバーを利用することで、住民票をわざわざ取得せずともオンラインで自動車登録が可能になります。
また「その他」として、規定の事務に準ずる事務であれば、マイナンバーの利用が認められるようになります。このため、マイナンバーを利用できる事務を規定に追加するための法改正が必要なくなり、今後さらに利用範囲の拡大が予想されています。
なぜ政府はマイナンバーを普及させたいのか?
近年マイナンバーカードの申請を求める声も強まり、政府がマイナンバーの普及に力を入れていることが分かります。それでは、なぜ政府はマイナンバーを普及させたいのでしょうか。マイナンバーの普及目的として、政府によって以下の3点が言われています。
- 国民の利便性向上
- 行政の効率化
- 構成・公平な社会の実現
出典:https://www.soumu.go.jp/kojinbango_card/01.html
マイナンバーによって国民の利便性向上や行政の効率化を図るうえで、DXを推進するという狙いもあるようです。マイナンバーカードにはICチップが埋め込まれており、電子証明書として利用可能となります。マイナンバーカードを利用することで、公的サービスへの申請や銀行口座の開設といった手続きをオンラインで行うことが容易になり、DX推進の一環として期待されています。世界各国がDXを進めている中、日本のDX化については遅れが指摘されています。政府は遅れを取り戻すべく、マイナンバーを普及させようとしているという見方が一般的です。
なぜマイナンバーは普及しないのか?
2016年、マイナンバー制度が始まって今年で7年目を迎えましたが、政府の思惑に反しマイナンバーカードの普及率は思わしくありません。2022年12月末時点で、マイナンバーカードの交付率は57.1%と、半数をわずかに上回る程度にとどまっています。
出典:https://www.soumu.go.jp/kojinbango_card/kofujokyo.html
出典:総務省の資料を基に作成
理由としてまず、前述した「マイナンバーカードの利便性が感じられない」ことが 指摘されます。しかし、法改正によりマイナンバーカードだけで手続きができるようになる場面が多くなったら、今後普及率が高まっていくのは間違いないでしょう。
マイナンバーカードの普及がなかなか進まない根本的な理由としては、セキュリティ面での不安が挙げられます。マイナンバーカードに多くの個人情報が含まれることになるため、むやみに情報を持ち歩きたくない、という理由から、マイナンバーカードの取得をためらう方も多いようです。実際に、2017年度から2021年度までの5年間で、3万5,000人分のマイナンバー情報の紛失や漏洩が報告されています。
マイナンバーを取り扱う企業側には更に厳しいセキュリティ体制が求められており、個人番号の漏えい、滅失、毀損の防止、その他個人番号の適切な管理のために、安全管理措置を講じなければなりません。
出典:https://news.yahoo.co.jp/articles/8f827fa8f2198db4e357fdf64aaf36748bf1f5cd
マイナンバー法改正に伴い、企業がとるべきセキュリティ対策
個人情報保護委員会はマイナンバーを取り扱う事業者に対するガイドラインとして、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を定めています。マイナンバーを取り扱う企業では、このガイドラインに示される「安全管理措置」に沿って、外部からの不正アクセス防止と内部のアクセス制御の両方の側面からセキュリティ対策を講じなければなりません。
そして今回のマイナンバー法改正に伴って、企業にはさらに徹底したセキュリティ対策が求められるようになります。法改正によってマイナンバーの利用範囲が拡大されるということは、これまで以上にマイナンバーの情報資産としての価値が高まる、ということでもあります。企業では、データそのものを保護する仕組みを強化しなければなりません。
データを保護する根本的な手法の1つに、「データベース暗号化」があります。データベースに対するセキュリティ対策として一般的なのは、ユーザ権限の設定やログの監視です。対して、データそのものを暗号化する対策は、開発コストや専門性の高さなどから実装が難しく、あまり一般的ではありません。
データベースの暗号化が可能なソリューションとして、Oracle/Microsoft SQLサーバ向けにリリースされている「D'Amo」があります。既存のRDBMSにアドオンとしてセキュリティ対策の実装ができ、ログ監視、アクセス制御、暗号化という3つのセキュリティ対策を一手に担うことが可能です。コストを抑えつつ、セキュリティの専門家がいなくとも実装可能なセキュリティソリューションです。
まとめ
本記事では、マイナンバー法改正に伴うセキュリティ対策について解説してきました。マイナンバー法改正に伴い、マイナンバーの利用範囲の拡大が予告されています。マイナンバーの普及にはDX推進という狙いがありつつも、情報漏洩などが懸念されることから、普及は思うように進んでいません。
法改正に伴い、今後さらにマイナンバーが普及すれば、企業にはこれまで以上に厳重なセキュリティ対策が求められます。データを保護する仕組みとして、データベースの暗号化が効果的な対策として注目されています。データ保護に力を入れたい企業の方は、低コストで厳重なセキュリティ対策ができる「D'Amo」などのソリューションの検討がおすすめです。
