マイナンバー導入後の年金手続きで個人情報流出!?公認会計士が徹底解説
2016年1月からマイナンバー制度の開始が予定されていますが、先日発覚した年金機構の個人情報漏えい事件を受けて、国民の個人情報保護に関する懸念が高まっています。
このまま予定通りマイナンバー制度を開始した場合、国民の個人情報は今よりも流出しやすくなり、預金や年金が第三者に奪われるリスクが高まる、そんな社会になってしまうのでしょうか?
今回は、マイナンバーと年金の関係、そして年金機構の情報漏えいとマイナンバーセキュリティを解説したいと思います。
1) マイナンバー制度の概要
マイナンバーとは、国民一人ひとりが持つ12桁の個人番号で、「国民の利便性の向上」、「行政の効率化」、「公平・公正な社会の実現」を目的として、税、社会保障、災害対策の分野で活用されることとされています。
2015年10月以降、住民票の住所に通知カードが郵送され、2016年1月以降、同梱された発行申請書に写真を添付して市町村へ提出することで、写真付きの個人番号カードが発行されます。(スマホでのQRコードを用いた申請も可能となる予定)
マイナンバー制度により、添付書類の削減等の行政手続の簡素化や、所得に応じた適切な社会保障の給付が可能となる等の効果が期待されています。
制度の詳細については、こちらをご覧ください。 これであなたもマイナンバー博士!マイナンバー制度を徹底解説
2) 年金機構の情報漏えい事件の概要
2015年5月8日に、竹村という送信者からYahooメールにて、年金機構九州ブロック本部の外部窓口のメールアドレス宛に、「厚生年金基金制度の見直しについて(試案)に関する意見」というタイトルのメールが届きました。職員が、当メールのリンクをクリックしたことによって、パソコンがウイルスに感染しました。
年金機構は、感染したパソコンの通信を遮断するとともに、セキュリティ会社に調査を依頼しましたが、「情報流出につながるものではない」という調査結果を受け、静観することを決めました。
その後、5月18日に、圧縮ファイルが添付された約100通の標的型メールが、職員の個人アドレスに届きました。タイトルは「厚生年金徴収関係研修資料」「給付研究委員会オープンセミナーのご案内」「医療費通知」の3種類で、当メールによって27台のパソコンがウイルスに感染しました。
これを受けて年金機構は警察に捜査を依頼しましたが、その後も九州、東京で不審な通信の発生が続き、また、警察からも情報が流出している旨の連絡があったため、5月29日にインターネットを遮断するに至りました。
本来、年金のデータは、基幹システムに保存されており、ネットワークから物理的に遮断されています。しかしながら、今回のケースでは、一時的にデータをファイル共有サーバーに移して作業をしていたため、共有サーバーから個人情報の一部が流出する事態となりました。流出した個人情報は、基礎年金番号・氏名・生年月日・住所を含む125万件(約101万人分)の個人情報とされています。
3) 高まる国民の懸念
2015年6月以降、年金機構だけでなく、東京商工会議所、協会けんぽ等においてもサイバー攻撃や不審通信の発生が報告されています。このような情報漏えい事件の度重なる発生を受けて、公的機関の情報管理体制に関する国民の懸念が高まっています。
それでは、国民が抱く懸念とは、具体的にはどのようなものなのでしょうか。政府の番号制度大綱においては、下記の通り3つの懸念に整理されています。
1. 国家管理への懸念 国家により個人の様々な個人情報が「番号」をキーに名寄せ・突合されて一元管理されるのではないかといった懸念
2. 個人情報の追跡・突合に対する懸念 「番号」を用いた個人情報の追跡・名寄せ・突合が行われ、
- 集積・集約された個人情報が外部に漏えいするのではないかといった懸念
- 集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念
3. 財産その他の被害への懸念 「番号」や個人情報の不正利用又は改ざん等により財産その他の被害を負うのではないかといった懸念
今回の年金機構のケースでは、特に「3. 個人番号の不正利用等(成りすましによる財産の被害)」、つまり第三者により年金が不正に受給されてしまうのではないかといった懸念が主要なものとなっています。
4) 今回の情報漏えい事件において想定されるリスク
まず初めに、マイナンバー制度の開始前におけるリスクの状況を確認します。今回発生した情報漏えい事件について、成りすましによる年金の不正受給が発生するリスクはどの程度あるのでしょうか。厚生労働省は、Q&Aにおいて下記の通り説明しています。
年金は、本人名義の口座に振込みにより行われています。年金の振込先の金融機関を変更する場合には、金融機関の証明印や受給者ご本人の預金通帳の写しなどでご本人の口座であることを確認しますので、他人が流出した情報だけをもって、「自分が本人である」と名乗り出ても、年金の振込先を変更することはできません。
上記の通り、年金の振込先の変更には、金融機関による本人口座であることの確認を含め、厳格な本人確認手続きが求められているため、成りすましによる不正受給が発生する可能性は低いと考えられます。
また、今回の事件では、情報が流出した年金受給者の基礎年金番号を変更する予定となっており、9月に新年金手帳が発送された後は、不正受給のリスクは解消される見込みです。実際に、6月15日に事件後の最初の年金支給日を迎えましたが、不正受給による被害は報道されていません。
それでは、マイナンバー制度の開始後、年金関連の手続きがどのように変わり、それに対する公的機関の情報管理体制はどのように整備されるのでしょうか。マイナンバー制度の開始後においても、国民が安心できるような個人情報の管理体制が整備されるのでしょうか。
5) マイナンバー制度における年金関連の手続きの変更点
まず、年金関連の手続きの変更点について確認します。年金機構は、2016年中に個人番号管理サブシステムを新たに構築し、基礎年金番号とマイナンバーの紐付けを行います。その後、2017年1月から各種届出の個人番号対応の開始や国の機関との情報連携を開始する予定です。
マイナンバー制度における年金関連の変更点は、主として国民年金や厚生年金における資格取得届等の各種届出書類にマイナンバーを記載して提出することや、年金受給のための請求手続きにおいて住民票、所得証明書の添付を省略することができること等が予定されています。
また、低所得者等が国民年金保険料の減免申請をする際に、マイナンバーのポータルサイトから申請できるようにすることも予定されています。
6) マイナンバー制度において国が定める安全管理措置
次に、マイナンバー制度開始後の個人情報の安全管理措置について確認します。マイナンバー制度では、アメリカの社会保障制度番号制度下において発生している成りすまし被害の原因を分析した上で、主として下記のような厳格な安全管理措置を設けています。
<ui>
成りすまし対策としては、本人確認を徹底することとされており、万が一マイナンバーを紛失・漏えいした場合においても、それだけでは手続きを行えない仕組みとなっています。また、情報が漏えいして不正に使われるおそれがある場合はマイナンバーの変更をすることも可能です。
7) まとめ
いかがでしたでしょうか。当然のことながら、そもそもマイナンバー以前の問題として、年金機構は今回の情報漏えい事件の発生原因を分析し、情報管理体制を強化していく必要があります。
しかしながら、マイナンバー制度そのものを考えてみると、情報の分散管理、符号を用いた情報連携、厳格な本人確認という仕組みを採用することによって、マイナンバー制度開始それ自体によって情報漏えいリスクが高まるという状況にはなっていないことが分かります。
ただし、マイナンバーの利用範囲については医療・金融等の民間分野にも拡充することが検討されているため、今後も改正の都度、情報管理の仕組みには注視をしていく必要があります。
経営ハッカーでは、記事制作にご協力いただける方を募集しております。 お申し込みはこちらから
