マイナンバー対応と情報セキュリティに関する調査 

2015年09月01日
日経BPコンサルティングは、「マイナンバー対応と情報セキュリティに関する調査」を実施し、その結果を「IT部門のためのマイナンバー対応白書2015-2016」にまとめました。

マイナンバー制度について、「従業員の退職7年後に個人番号を廃棄する必要がある」ことなど、セキュリティ関連の詳細な認知は不十分であること、対応作業の準備・実施層は42%であることが分かりました。さらに、マイナンバーの安全管理措置のうち、想定される20項目の手法の検討状況を尋ねたところ、「特定個人情報ファイルの削除・廃棄の記録」など、特定個人情報の取り扱い、および組織的安全管理措置として想定される手法が、今後対応が進むと位置づけられました。

調査は2015年6~7月に実施し、従業員数規模が300人以上の企業の情報システム部門の所属者からの498件の回答を集計しました。

マイナンバー制度は、2013年5月に制定された「行政手続における特定の個人を識別するための番号の利用等に関する法律」に基づき、2016年1月に個人番号の利用が開始されます。実運用開始まで残り6カ月の時点で、取り組み実態を調査しました。同様の調査としては、対象者層や調査内容が異なるが、当社が2015年3月末に日経コンピュータと共同で実施し、その結果を同年4月21日にニュースリリースとして公表しています。

【調査結果】

◆「退職7年後に個人番号は廃棄」など厳格な管理を要することの認知が低い

「マイナンバー制度の運用が始まること」に関する周知・啓発は、2015年初から本格化した。ここでは、もう少し踏み込んで、マイナンバー制度に関する詳細な説明を含む18項目について、その認知を尋ねたところ、6割以上の認知度は5項目と少数にとどまった。最も高い78.3%の認知度は、「個人に12桁の番号を割り当てる」ことである。認知度が5割以上の項目は9項目と半数となり、4割以上の項目では12項目と半数を超える水準となる。

これに対して、認知度が唯一の1割台で最も低いのは、「従業員の退職後には、原則7年後に個人番号を廃棄する必要がある」(同18.9%)こと。これに次いで、認知度が25%前後と低い3項目は、「個人情報保護法では『5,000件以下の個人情報の保有者』は対象外だが、マイナンバー制度では対象外ではない」(24.7%)、「行政機関や勤務先など、社会保障、税、災害対策の手続きに必要な場合などを除き、他人に個人番号の提供を求めてはならない」(26.3%)、「法律や条例で決められている手続きで行政機関や勤務先などに個人番号を提供する際は、本人確認を義務付けている」(26.5%)――である。

マイナンバーは、現行の個人情報保護法で定められた個人情報よりも、厳格な管理を必要とすること、セキュリティ関連対策が重要であることを、認知度が下位の4項目は説明している。この認知度が低いことは、マイナンバーのセキュリティを高い水準に保つべきことが、社内関係者の共通認識となりにくいこと、従業員への周知・教育の大幅な強化が求められていることを示している。

◆対応作業の準備・実施層は42%、予定層まで含めて64%

マイナンバー対応作業の準備・実施状況について見ると、「準備・実施している」(実施層)は42.0%であり、「準備・実施していないが、予定はある」(21.9%)の予定層と合わせた「実施・実施予定層」は63.9%と6割台に達した。これに「準備・実施していないが、法制度でもあり、必要になったときに都度対応するはず」(8.0%)を合わせた「実施・実施予定・実施想定層」は71.9%と7割台に達した。一方、「準備・実施していないし、予定もない」という「予定なし層」は2.0%とごく少数にとどまり、「状況が全く分からない」という「不明層」は26.1%であった。

属性別に見ると、金融業は実施層が69.0%と多く(回答数はn=29と少ないので誤差がやや大きい)、流通業は実施予定層が32.0%と多い点に特徴がある。一方、従業員規模別に見ると、実施層は4割台前半でほとんど同じだが、5,000人以上の大規模企業は不明層が37.9%と多いため、状況が分かっている層を母数として集計した場合の実施層は約7割と最も高い。大企業の情報システム部門は、マイナンバーの担当者が同じチーム内にいないなど、対応状況を把握しにくいことが背景にある。

◆組織的安全管理措置として想定される手法は今後対応が進む

政府がマイナンバーの適正な取り扱いのためにガイドラインとして定めた安全管理措置は、組織的、人的、物理的、技術的の4分野に分類される。このうち、(1)組織的、(2)物理的、(3)技術的の3分野の安全管理措置については、情報システム/ツールによる支援が効果的で、その検討状況を情報システム部門の所属者に尋ねるのが適切と考え、各措置として想定される手法について、それぞれ5、4、11項目、合計20項目の検討状況として尋ねて整理した。

安全管理措置の手法の検討状況として、(1)既存システムで実施済み(「実施済み」と略す)、(2)新規の対応を検討中(「検討中」と略す)、(3)新規に対応する必要があるが、具体化していない、(4)検討していない、(5)分からない/勤務先には該当しない――の5つの選択肢から回答者に選んでもらった。このうち、(1)実施済みと(2)検討中の構成比の関係について、(1)(2)の両指標の平均点で4つの象限に分割し、安全管理措置に関する20項目の手法をプロットした。

まず組織的安全管理措置の手法の5項目は、すべて左上の象限、つまり「実施済みが少なく、検討中が多い」ゾーンにプロットされた。この左上の象限には、組織的安全管理措置の4項目((1)「特定個人情報ファイルの削除・廃棄の記録」、(2)「特定個人情報ファイルの利用・出力状況の記録」、(3)「特定個人情報ファイルの取扱担当者のシステム利用状況の記録」、(4)「特定個人情報の取扱状況についての監査」)、および技術的安全管理措置の1項目(「特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定すること」)を合わせ、特定個人情報の取り扱いに関する項目が多いことも特徴である。特定個人情報は、マイナンバー制度対応を機に打ち出された概念であり、実施済みが少ないのは当然である。しかし、これ以外の4つの選択肢の中で、「新規の対応を検討中」の構成比が相対的に高い点で注目に値する。特定個人情報の取り扱い、および組織的安全管理措置として想定される手法は、今後対応が進展すると考えられる。

次に物理的安全管理措置の手法の4項目は、下側の象限、つまり「実施済みは平均前後に位置し、検討中が少ない」ゾ―ンにプロットされた。4項目のうち3項目は、電子媒体の持ち出しと書き込みの制御に関する措置である。さらに、技術的安全管理措置の手法の11項目は、4象限のすべてに位置しており、内容によりどの象限にあるかが異なる。このうち6項目は、右下の象限、つまり「実施済みが多く、検討中が少ない」ゾーンにプロットされる。特に、「ウイルス対策ソフトの導入」は他の項目から遠く離れて、最も右下に位置しており、約9割が実施済みである。他の技術的安全管理措置も、実施済みの項目が少なくないと言える。


【調査概要】
・調査名称:マイナンバー対応と情報セキュリティに関する調査
・調査目的:マイナンバー制度が2016年に実運用を開始するに際して、情報セキュリティに関する備えが重要であるとの認識に立ち、国内の中堅・大規模企業におけるこの分野の実態を把握する。
・調査対象者:日経BPコンサルティングの調査モニターから、「従業員数規模が300人以上の企業」で、「IT部門(勤務先の情報システムを担当)」の所属者を抽出した。
・調査対象者:従業員数規模が300人以上の企業の情報システム部門の所属者
・調査方法:Webアンケート調査
・有効回収数:498件
・調査日程:2015年6月24日(水)~7月6日(月)
・勤務先の業種:製造業43%、流通業10%、金融業6%、建設・土木・不動産業6%、情報処理サービス業15%、その他20%
・従業員数規模:300人~999人は35%、1,000人~4,999人は32%、5,000人以上は32%
・役職:経営者・役員は1%、部長は13%、課長は32%、係長・主任は29%、一般社員・職員・その他は25%
・勤務先の情報セキュリティ対策への関与状況:検討参画者は35%、検討参画者への情報提供層は34%、承認者は6%
・調査機関:株式会社日経BPコンサルティング
・調査委託者:Sky株式会社

詳しいリサーチ内容はネタ元へ
[日経BPコンサルティング]
 マイページ TOP