マイナンバー導入後の年金手続きで個人情報流出!?公認会計士が徹底解説

マイナンバー-年金

2016年1月からマイナンバー制度の開始が予定されていますが、先日発覚した年金機構の個人情報漏えい事件を受けて、国民の個人情報保護に関する懸念が高まっています。

このまま予定通りマイナンバー制度を開始した場合、国民の個人情報は今よりも流出しやすくなり、預金や年金が第三者に奪われるリスクが高まる、そんな社会になってしまうのでしょうか?

今回は、マイナンバーと年金の関係、そして年金機構の情報漏えいとマイナンバーセキュリティを解説したいと思います。

マイナンバー対策、大丈夫ですか?
ダウンロードページはこちら

1) マイナンバー制度の概要

マイナンバーとは、国民一人ひとりが持つ12桁の個人番号で、「国民の利便性の向上」、「行政の効率化」、「公平・公正な社会の実現」を目的として、税、社会保障、災害対策の分野で活用されることとされています。

2015年10月以降、住民票の住所に通知カードが郵送され、2016年1月以降、同梱された発行申請書に写真を添付して市町村へ提出することで、写真付きの個人番号カードが発行されます。(スマホでのQRコードを用いた申請も可能となる予定)

マイナンバー制度により、添付書類の削減等の行政手続の簡素化や、所得に応じた適切な社会保障の給付が可能となる等の効果が期待されています。

制度の詳細については、こちらをご覧ください。
これであなたもマイナンバー博士!マイナンバー制度を徹底解説

2) 年金機構の情報漏えい事件の概要

2015年5月8日に、竹村という送信者からYahooメールにて、年金機構九州ブロック本部の外部窓口のメールアドレス宛に、「厚生年金基金制度の見直しについて(試案)に関する意見」というタイトルのメールが届きました。職員が、当メールのリンクをクリックしたことによって、パソコンがウイルスに感染しました。

年金機構は、感染したパソコンの通信を遮断するとともに、セキュリティ会社に調査を依頼しましたが、「情報流出につながるものではない」という調査結果を受け、静観することを決めました。

その後、5月18日に、圧縮ファイルが添付された約100通の標的型メールが、職員の個人アドレスに届きました。タイトルは「厚生年金徴収関係研修資料」「給付研究委員会オープンセミナーのご案内」「医療費通知」の3種類で、当メールによって27台のパソコンがウイルスに感染しました。

これを受けて年金機構は警察に捜査を依頼しましたが、その後も九州、東京で不審な通信の発生が続き、また、警察からも情報が流出している旨の連絡があったため、5月29日にインターネットを遮断するに至りました。

本来、年金のデータは、基幹システムに保存されており、ネットワークから物理的に遮断されています。しかしながら、今回のケースでは、一時的にデータをファイル共有サーバーに移して作業をしていたため、共有サーバーから個人情報の一部が流出する事態となりました。流出した個人情報は、基礎年金番号・氏名・生年月日・住所を含む125万件(約101万人分)の個人情報とされています。

3) 高まる国民の懸念

kenen

2015年6月以降、年金機構だけでなく、東京商工会議所、協会けんぽ等においてもサイバー攻撃や不審通信の発生が報告されています。このような情報漏えい事件の度重なる発生を受けて、公的機関の情報管理体制に関する国民の懸念が高まっています。

それでは、国民が抱く懸念とは、具体的にはどのようなものなのでしょうか。政府の番号制度大綱においては、下記の通り3つの懸念に整理されています。

1. 国家管理への懸念
国家により個人の様々な個人情報が「番号」をキーに名寄せ・突合されて一元管理されるのではないかといった懸念

2. 個人情報の追跡・突合に対する懸念
「番号」を用いた個人情報の追跡・名寄せ・突合が行われ、

  • 集積・集約された個人情報が外部に漏えいするのではないかといった懸念
  • 集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念

3. 財産その他の被害への懸念
「番号」や個人情報の不正利用又は改ざん等により財産その他の被害を負うのではないかといった懸念

今回の年金機構のケースでは、特に「3. 個人番号の不正利用等(成りすましによる財産の被害)」、つまり第三者により年金が不正に受給されてしまうのではないかといった懸念が主要なものとなっています。

4) 今回の情報漏えい事件において想定されるリスク

まず初めに、マイナンバー制度の開始前におけるリスクの状況を確認します。今回発生した情報漏えい事件について、成りすましによる年金の不正受給が発生するリスクはどの程度あるのでしょうか。厚生労働省は、Q&Aにおいて下記の通り説明しています。

年金は、本人名義の口座に振込みにより行われています。年金の振込先の金融機関を変更する場合には、金融機関の証明印や受給者ご本人の預金通帳の写しなどでご本人の口座であることを確認しますので、他人が流出した情報だけをもって、「自分が本人である」と名乗り出ても、年金の振込先を変更することはできません。

本年金機構への不正アクセス事案に関するQ&A(厚生労働省)

上記の通り、年金の振込先の変更には、金融機関による本人口座であることの確認を含め、厳格な本人確認手続きが求められているため、成りすましによる不正受給が発生する可能性は低いと考えられます。

また、今回の事件では、情報が流出した年金受給者の基礎年金番号を変更する予定となっており、9月に新年金手帳が発送された後は、不正受給のリスクは解消される見込みです。実際に、6月15日に事件後の最初の年金支給日を迎えましたが、不正受給による被害は報道されていません。

それでは、マイナンバー制度の開始後、年金関連の手続きがどのように変わり、それに対する公的機関の情報管理体制はどのように整備されるのでしょうか。マイナンバー制度の開始後においても、国民が安心できるような個人情報の管理体制が整備されるのでしょうか。

5) マイナンバー制度における年金関連の手続きの変更点

nenkin1

まず、年金関連の手続きの変更点について確認します。年金機構は、2016年中に個人番号管理サブシステムを新たに構築し、基礎年金番号とマイナンバーの紐付けを行います。その後、2017年1月から各種届出の個人番号対応の開始や国の機関との情報連携を開始する予定です。

マイナンバー制度における年金関連の変更点は、主として国民年金や厚生年金における資格取得届等の各種届出書類にマイナンバーを記載して提出することや、年金受給のための請求手続きにおいて住民票、所得証明書の添付を省略することができること等が予定されています。

また、低所得者等が国民年金保険料の減免申請をする際に、マイナンバーのポータルサイトから申請できるようにすることも予定されています。

6) マイナンバー制度において国が定める安全管理措置

次に、マイナンバー制度開始後の個人情報の安全管理措置について確認します。マイナンバー制度では、アメリカの社会保障制度番号制度下において発生している成りすまし被害の原因を分析した上で、主として下記のような厳格な安全管理措置を設けています。

  • マイナンバーの利用範囲について、税・社会保障・災害対策の分野に限定
    ※利用範囲については、民間利用への拡大が検討されていますが、今回の事件を受け、マイナンバー法改正案の審議が見送りとなっています
  •  

  • 個人情報は従来通り各公的機関で管理し、必要に応じて情報をやり取りする分散管理の仕組みを採用
  •  

  • 公的機関間の情報連携について、マイナンバー(個人番号)ではなく符号を用いる仕組みを採用
  •  

  • 公的機関間の情報提供記録を一元的に記録
  •  

  • 本人確認について、番号確認に加え、身元確認を義務付け
  •  

  • 情報にアクセスする際の本人認証機能の強化(公的個人認証の利用等)
  •  

  • 個人情報カードのICチップには、税や年金の情報等プライバシー性の高い情報は記録しない(券面記載の情報や公的個人認証の電子証明書等の情報に限定)
  •  

  • 特定個人情報保護委員会という第三者機関による監視・監督
  •  

  • 法律に違反した場合の罰則の強化
  •  
    以上のように、個人情報はこれまでどおり各公的機関に分散して管理されるため、個人情報がまとめて漏れるようなことはありません。また、各公的機関間の情報連携は、マイナンバーではなく機関毎に異なる符号を用いて行うため、仮に一か所で情報漏えいが発生しても、他の機関が保有する情報には影響しない仕組みとなっています。

    成りすまし対策としては、本人確認を徹底することとされており、万が一マイナンバーを紛失・漏えいした場合においても、それだけでは手続きを行えない仕組みとなっています。また、情報が漏えいして不正に使われるおそれがある場合はマイナンバーの変更をすることも可能です。

    7) まとめ

    いかがでしたでしょうか。当然のことながら、そもそもマイナンバー以前の問題として、年金機構は今回の情報漏えい事件の発生原因を分析し、情報管理体制を強化していく必要があります。

    しかしながら、マイナンバー制度そのものを考えてみると、情報の分散管理、符号を用いた情報連携、厳格な本人確認という仕組みを採用することによって、マイナンバー制度開始それ自体によって情報漏えいリスクが高まるという状況にはなっていないことが分かります。

    ただし、マイナンバーの利用範囲については医療・金融等の民間分野にも拡充することが検討されているため、今後も改正の都度、情報管理の仕組みには注視をしていく必要があります。

    滝川博史
    愛知県新城市の公認会計士事務所です。起業支援、補助金申請支援から起業再生支援まで税に関わる幅位広い分野の活動を支援します。
    経営ハッカー寄稿実績:
        【法改正】電子帳簿保存法 改正内容と適用開始までのスケジュール
         https://keiei.freee.co.jp/2015/09/08/denshityoubo-kaisei/
        【法改正】中小法人の税制優遇基準「資本金1億円以下」の見直しがもたらすもの
         https://keiei.freee.co.jp/2015/08/03/shihonkin_kaisei/
        マイナンバー導入後の年金手続きで個人情報流出!?公認会計士が徹底解説
         https://keiei.freee.co.jp/2015/07/02/mynumber-nenkin/



    ————
    経営ハッカーでは、記事制作にご協力いただける方を募集しております。
    お申し込みはこちらから

    マイナンバー制度についてもっと詳しく知るには

    すべての国民に番号をつけて、税・社会保障関連の手続きに活用される「マイナンバー制度」。2015年10月からマイナンバーの通知が始まります。そして、2016年1月にマイナンバー制度が開始します。
    制度開始まで間もないですが、どのような制度なのかまだ調べている段階で対策にまで手が回っていない方がほとんどかと思います。
    このガイドでは、マイナンバーのスケジュールやその他知っておきたい基本知識など、マイナンバーを理解するのに必要な情報を全てまとめました。
    本ページを活用して、マイナンバーをマスターして有効に使いましょう!

    ebook_mynumber (new)

    目次

    1. 今さら聞けないマイナンバー制度とは?
    2. 制度開始までのスケジュール
    3. 収集時の本人確認の方法
    4. 保管に必要な安全管理措置
    5. マイナンバーを提供していい範囲とは?
    6. 法定調書への記入・提出方法・注意点
    7. マイナンバーによる年末調整の変更点
    8. マイナンバーに関してよくある質問10選
    無料でダウンロード
    無料でダウンロード