マイナンバー対応が難しい理由と、その壁を突破する5つの道具特別企画:いまから確実にマイナンバーに対応する方法(前編)(2/3 ページ)

» 2015年10月16日 07時00分 公開
[PR/@IT]
PR

マイナンバー対応を短期間で効率的に行うための三つの勘所と実践が難しい理由

日本オラクル 製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャーの大澤清吾氏

 短期間で効果的にマイナンバー対応を果たすためには、幾つかの重要なポイントがあると話すのは、日本オラクルでデータベースセキュリティソリューションを担当する大澤清吾氏(製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャー)だ。

 「日本オラクルは現在、多くの組織のマイナンバー対応をご支援していますが、それらのプロジェクトを通じて得た経験から、確実かつ効率的に作業を進める上で大きく三つのポイントがあると考えています。

 一つ目は、マイナンバーをシステム上でどのように格納/管理し、それに各業務担当者がどうアクセスするのかを明確に把握することです。なぜなら、それによって安全管理措置の実装形態が異なってくるためです。これはマイナンバー対応におけるセキュリティ施策の要となる部分であり、留意すべき点でもあります」(大澤氏)

 ガイドラインでは、業務の中でマイナンバー(特定個人情報)を扱う者を『個人番号利用事務実施者(主に行政機関)』や『個人番号関係事務実施者(主に民間企業)』と呼び、マイナンバーを扱わない者と明確に区別している。また、マイナンバーを扱うシステムと扱わないシステムを明確に区分けすることも求められる。具体的には、マイナンバーを格納したデータベースファイルなどは「特定個人情報ファイル」として安全管理措置の対象になる。このとき、そのマイナンバーを扱う担当者やシステムの範囲については十分な注意が必要だ。

 大澤氏が指摘する二つ目のポイントは、短い期間の中で人事部や経理部、セキュリティ担当部門、IT部門など多くの関連部署が密接に連携して作業を進める必要があるということで、これがマイナンバー対応プロジェクトを難しくしている点でもあるという。

 「ガイドラインは膨大な量のドキュメントですが、この中で規定されている事項を十分に理解して進めなければ、抜けや漏れが生じて手戻りが発生する恐れがあります。その場合、スケジュールはさらにひっ迫するでしょう。それを避けるには、各部署の担当者がガイドラインの内容を理解して合意を形成した上でプロジェクトを進めることが非常に重要です」(大澤氏)

 最後のポイントは、多くの組織が、現在は条例策定や業務運用の変更などIT施策への落とし込みの前段となる作業に追われている状況であり、明確なビジネス要件が固まってIT側に下りてくるまでに、まだ時間がかかるということだ。

 「このような状況の中で、IT部門側が今、何をすべきかといえば、きちんとした“器”を作って準備しておくことです。その参考になるものとして、既にガイドラインの中で安全管理措置が示されているので、それに準じたシステムを作ればよいのです」(大澤氏)

マイナンバーを格納した特定個人情報ファイルの「範囲」に注意!

 大澤氏が指摘する三つのポイントの中でも、特に注意を要するのが特定個人情報ファイルの対象範囲と、そのアクセス制御である。これについて少し補足しておきたい。

 例えば、企業が運用する従業員の給与情報データベースについて考えてみよう。企業は従業員から徴収した所得税や社会保険料などを納付する都合から、これらをマイナンバーとひも付けて管理する。このとき、給与情報データベースに従業員のマイナンバーを格納していなければ「給与情報データベースファイルは特定個人情報ファイルには当たらない」と考えるかもしれない。

 しかし、給与情報データベースからマイナンバーを格納したデータベース(以下、マイナンバーデータベース)に社員番号などをキーにしてアクセスできる場合、システム的には連携しているため、給与情報データベースはマイナンバーデータベースとセットで特定個人情報ファイルと見なされ、安全管理措置の対象となる。また、会計業務アプリケーションなどを使って給与情報データベースを参照しながら業務を行う経理担当者は、全員が特定個人番号関係事務実施者となる。

 この状態は、次の点で好ましくないといえる。

  • マイナンバーが格納されていない給与情報データベースも安全管理措置の対象となる
  • 会計業務アプリケーションの画面/帳票にはマイナンバーが表示/印刷されず、業務でマイナンバーを見ることのない経理担当者も特定個人番号関係事務実施者の扱いを受ける

 これらのことは、マイナンバー対応のためのセキュリティ施策の対象範囲を拡大させる他、業務運用上も制約や不都合をもたらす可能性がある。当然、企業は「マイナンバーデータベースへのアクセスを必要最小限にとどめることでセキュリティを強化し、特定個人情報ファイルの対象範囲を最小化して業務への影響を抑えたい」と考えるだろう。

 その場合、つまり給与情報データベースを特定個人情報ファイルの対象外としたければ、下図に示すように給与情報データベースからマイナンバーデータベースへのアクセスを制御し、特定個人番号関係事務実施者の業務だけで参照できるようにすればよい。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年11月15日

関連情報

驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。