シュレッダーの新ブランド「Shred Gear」。今、マイナンバーなどの機密情報を復元不可なまでに粉々にするハイセキュリティシュレッダー「Shred Gear kiwami」シリーズの注目度が高まっている。
その「Shred Gear」の生みの親である“シュレッダー界の風雲児”松本弘一(㈱サカエ代表取締役社長)が、情報セキュリティ大学院大学の学長補佐、湯淺墾道さんを訪ね、マイナンバー制度の真実について大いに語り合った!

日本独自のマイナンバー制度。
2つの使命、義務と負担

yuasa01.jpg情報セキュリティ大学院大学 学長補佐 情報セキュリティ研究科 教授 湯淺墾道さん Harumichi YUASA松本 : マイナンバー制度について、さまざまな情報が流れていますが、今ひとつ実態がつかみにくい状況にあります。
湯淺 : マイナンバーには大きく2つの役割があります。一つは、税務署や自治体など、住民の情報を集めて実際に使う行政機関で、自らの業務でマイナンバー(個人番号)を使用します。これを個人番号利用事務といいます。もう一つは個人番号関係事務で、主に企業などに課せられます。日本の場合、給料の中から年金や社会保険、健康保険などを源泉徴収するシステムなので、企業には取りまとめて提出する必要があります。今後、その提出書類にはマイナンバーを記載しないといけなくなります。つまり、企業は自らマイナンバーを利用するわけではありませんが、役所に代わって従業員のマイナンバーを集めないといけません。本人のみならず、扶養者のマイナンバーも集めないといけないんです。
松本 : 企業の総務が役所としての機能をもつ、ということですね。責任重大です。
湯淺 : 企業には相当な負担がかかります。個人情報保護法のときも個人情報保護法ショックみたいな話があったのですが、マイナンバーを安全管理するためにいろいろなものやシステムをリプレイスしないといけません。買い替えせざるをえない事務機も多いはずで、そういう負担が事業者にストレートにかかってきます。しかも、マイナンバーの取り扱いには、本人確認義務も課せられています。単に従業員に番号を記載させればいいのではなく、面と向かって本人かどうか、番号が間違っていないかどうかを確認する必要が義務付けられているんです。中小企業には総務1人というケースも多いわけですから、その方が普段の業務に加えてマイナンバーの責任も負わないといけないというのは、ものすごく大変なことです。
松本 : 日本のマイナンバー制度はグローバル的にみてスタンダードなのでしょうか?
湯淺 : マイナンバー制度は海外を参考にしていますが、システムは日本独特です。世界的にはこの様な制度のない国もあります。例えばアメリカには制度はありませんが、ソーシャルセキュリティナンバーという本来は社会保障のためのIDがあって、それが事実上の身分証明になります。というのも、そもそもアメリカには年末調整というシステムはなく、納税者は自分で手続きしますから身分証明さえ確立していればいいんです。一方、韓国は電子化がとても進んでいて、生まれたときに自動的に番号が与えられ、家族関係登録制度簿に記されます。行政もスピーディーだし、社員何千人につき一人、情報セキュリティ専門家を必ず配置しないといけない、といったルール作りも確立しています。


個人情報のキーワードは“廃棄”
少なくとも取扱責任者を明確に!

matsumoto01.jpg株式会社サカエ 代表取締役   松本弘一松本 : われわれ事務機業界はソリューションとしてマイナンバー室を作りましょう、という提案をしています。その部屋には指紋認証、顔認証などがあって関係者以外は誰も入れない。そこでプリントアウトして、保管して、期限が来たらその室内でシュレッドにかけて廃棄までをきちんと行なう、というものです。もちろん、監視カメラで室内もしっかり管理しましょうと。
湯淺 : すばらしい、まさにおっしゃる通りです。それと、マイナンバーを扱える人を限定することも大事です。変な話、企業の社長自身がマイナンバーを扱ってはダメなんですよ。社長には必要のない情報ですから、マイナンバーを閲覧できる権限やID、パスワードなどは一切与えてはいけません。むしろ、事務の経理や総務などの必要な部門にだけ閲覧権限を与えるようにしないといけない。さらにはマイナンバーを扱える人もはっきりさせて、それ以外の人には一切さわらせない。責任の所在をはっきりさせるために、マイナンバー取扱責任者というポジションができるかもしれませんね。安全管理で重要なのは隔離と廃棄です。
松本 : ますます廃棄が重要な時代になる、ということですね。われわれシュレッダーメーカーの踏ん張りどころです。
湯淺 : 実は個人情報保護法では、使わなくなったら個人情報は廃棄しなければならない、とは書いてなかったんです。あくまでもガイドライン程度で、「使わない個人情報は廃棄するのが望ましい」程度の表現で、法令の条文には書いてありません。ところが、マイナンバー法でははっきり入っています。「法律や個別の法令で保存が義務づけられている場合を除いて、使わなくなったマイナンバーは廃棄しなければならない」という内容があり、しかも、「廃棄するときは、紙媒体であれば復元できないようにしなければならない」とガイドラインに明記されています。また、先頃、改正個人情報保護法が通りましたけど、マイナンバー法と同じように、新たに「利用する目的がなくなった個人情報は廃棄しなければならない」という内容が追加になりました。
松本 : マイナンバー制度によって個人情報保護法も進化しているのですか!?
湯淺 ちなみに、個人情報保護法では中小事業者特例というのがあって、個人情報を5000件以上もっていなければ事業者としての義務の対象ではなかったんです。ところが、改正個人情報保護法ではそれも無くなります。例外なし。取り扱い情報が少ない企業もすべて義務対象です。マイナンバー法に限らず、企業の秘密情報の管理のあり方が、少しずつ変わらざるを得ない状況にあるといえます。
松本 : 以前お会いしたとき、湯淺先生は、情報漏えいは紙媒体がもっとも多いと指摘され、以来、経産省を始めとする関係各所に働きかけていますが、今なお紙媒体の廃棄基準は具体化されていません。「復元できない程度」のままでしょう。当社の関係者がマイナンバーに関するあるセミナーに出席したのですが、そこでシュレッダーの細断寸法に関して質問したところ、その方は「数字の1なのか2なのか、わからない大きさにしなさい」と答えられたそうです。それでもまだ曖昧さはぬぐえません。JIS規格などで明確化したい、いえすべきだと考えています。
湯淺 : セキュリティに関しては、すばらしい技術者の方々が最新の研究で防御措置を考え出しても、知的財産である情報を鵜の目鷹の目で狙っている輩は、それを上回るスピードで技術を開発します。完全に防ぐことはできないと腹をくくっておいたほうがいい。でも、漏えいは全力で防がないといけません。マイクロカットできるハイセキュリティのシュレッダーは実に有効な手段だと思います。でも、後追いしてくる輩に対する責任問題もあって、規格化が進まないのでしょう。
松本 : 文書細断に関して世界基準となっているドイツ規格協会に、セキュリティレベルの制定に関して問い合わせてみたところ、詳細はNGでしたが、メンバー構成を教えてくれました。セキュリティの専門家だけでなく、建築家などの有識者を幅広く集めて検討を重ねたようです。
湯淺 : あのドイツの文書細断セキュリティレベルはよくできています。レベル1~7まであって、御社のkiwami F6やF10はそのレベル7をクリアしているのですから、これまたすごいことです。それとアメリカですが、セキュリティクリアランスという制度があって、これは機密情報に領域とレベルを設けていて、ここまでなら伝えてよい、民間企業に勤めている人であってもこの人には情報を伝えてよい、といったような制度があります。日本もこういう制度を設けて、官民一体となって取り組むべきジャンルがあると思います。


マイナンバーのICカードは、
運転免許証の感覚で
肌身離さず持ち歩こう!

ryousya01.jpg松本 : ところで、マイナンバー制度のメリットも教えてください。
湯淺 : 日本は本当の意味での身分証明書がない不思議な国でしたから、マイナンバーは身分証明書として使える初めてのものです。これにより、いろんなところに散在している個人情報が横に連結できるようになるので、住民票を取る、戸籍を取る、などの書類を集める手間はだいぶ軽減されます。世界的にみて日本は電子政府がすごく遅れていますが、その一因は身分証明書がないことにありました。マイナンバーでそれがクリアできますので、今後、電子申請の普及が期待されています。
松本 : 金融機関を紐づけすることが決まりましたし、スーパーなどでの軽減税率で使うような動きもあります。
湯淺 : まず、10月から通知カードという紙のカードが届き、来年1月以降ICカードに切り替えられます。持ち歩くのは嫌だとさっそく言っている人がいますけど、マイナンバーは使わないといけないんです。日本人は身分証明書を携帯する習慣がありませんから、この意識づけが一番難しい問題ですね。諸外国であれば身分証明書はとても大事なもので、子供の頃から絶対に落としたりなくしたりしないよう教育されていて、でも大事な情報が入っているから常に持ち歩かないといけないもの、ということが身についています。
松本 : マイナンバーについて簡単なweb調査をしたところ、大きく2つに分かれました。カードホルダーに入れて携帯するが約1/4、簡単に見つかりにくいところに隠すが約1/4(笑)。万が一、紛失したり盗まれた場合のデメリットはどういうことになりますか?
湯淺 : 実はあまり危機感は煽らない方がよくて、カードを盗まれたからといって、ただちに被害が生じるものではありません。たとえば、金融機関にマイナンバーのカードだけを持っていっても貯金を引き出すことはできません。顔写真もありますし。失くした、落とした、といってもただちに危険ではありません。守る必要はありますが、神経質になる必要はまったくなくて、運転免許証くらいの感覚でいいんです。運転免許証はなくしたら大変だから、皆さん、しっかり管理しているでしょう。
松本 : それはわかりやすいですね。確かに、運転免許証では緊張などしていません。
湯淺 : 年金番号流出事件のときもそうでしたが、紛失や盗難よりも二次犯罪、二次被害のほうが懸念されています。マイナンバー情報が流出しているから代行して差し止めてあげる、あるいは、情報を盗んだから公開されたくなかったらお金を用意しろといった脅迫など、間接的な犯罪が危惧されています。
松本 : そのためにも企業はマイナンバーを安全管理し、不要な情報はしっかり破棄する必要があるんですね。
湯淺 : また、最近の傾向として、情報漏えいは、人的なセキュリティ事故が結構多いんです。人間の要因。これにはうっかりとわざとの両方があります。そのためにも企業は、自社内にセキュリティの専門家をつくる必要があります。うちの大学に社員を派遣している会社が増えているのは、そうした対策の一環です。とはいえ、マイナンバー制度にも制度設計が遅れていたり、未だに検討中だったり、解釈のバラツキや曖昧な部分がありますので、来年1月の運用以降、問題が山積する可能性が濃厚です。
松本 : 湯淺先生のお話をうかがっていると、確かに問題は否めませんね。同時に“これからは廃棄が大事な時代”というキーワードを得て、ハイセキュリティなシュレッダーのプロモーションの必要性を痛感しました。マイナンバーの動向に敏感になりつつ、事務機業界として意を決して尽力したいと思います。本日はありがとうございました。


■ memo

情報セキュリティ大学院大学

2004年、情報が人に寄り添う時代を見据え、情報セキュリティ専門の大学院大学として神奈川県横浜市に開校。「セキュリティで未来を創る」ことをスローガンに、国内における唯一無二の専門大学として、情報セキュリティに特化した人材育成と高度な研究を展開している。修士課程(1年制、2年制)と博士課程があり、学生の約8割は社会人。大学新卒者から60代までと年齢層は幅広いのが特長で、最近では官公庁や企業から派遣されてくる学生も多い。日本の情報セキュリティ教育のスタンダードとして、日本のみならず世界に影響を与えるプロフェッショナルを積極的に輩出している。


熱血社長         シュレッドの現場を行く VOL.03
■情報セキュリティ大学院大学学長補佐
情報セキュリティ研究科 教授
湯淺墾道さん
 【 profile 】
慶応義塾大学大学院法学研究科博士課程退学。2004年より九州国際大学法学部専任講師、助教授、准教授を経て、2008年4月に教授、同年9月には九州国際大学副学長に就く。2011年4月より、情報セキュリティ大学院大学の教授となり、翌年4月より学長補佐を併任。法とガバナンスコース、セキュリティ/リスクマネジメントコースで教鞭を執っている。九州大学、中央大学、愛知学院大学、横浜市立大学の非常勤講師であり、情報ネットワーク法学会副理事長、公益財団法人アジア女性交流・研究フォーラム理事も務める。
趣味はドライブで、愛車は直列6気筒エンジンを搭載したトヨタクラウン。忙しくて遠出する暇がない中、論文などが煮詰まると近所をひと回り。それだけでも気分爽快、すっきり明晰になれるという。