ガイドライン策定者の解説で理解する「マイナンバー制度」対策と「技術的安全管理措置」:現場が実践すべきセキュリティ対策のポイントは?(1/2 ページ)
全ての企業が対策必須の「マイナンバー制度」の施行が2016年1月に迫っている。個人情報を含むデータの安全な管理が求められるこの制度、一体どのように対策すれば良いのだろうか? ガイドライン策定にも携わった専門家に、マイナンバー制度に対応した「技術的安全管理措置」の考え方を聞く[セキュリティ対策][Database Security]
マイナンバー制度で企業の個人情報管理、ITシステムはどう変わるのか?
ご存じの通り、2015年10月、全国民に対する「マイナンバー(社会保障/税番号)」の通知が開始され、翌(2016)年1月から「社会保障・税番号制度(通称:マイナンバー制度※1)」の運用がスタートする。これ以降、国内の全ての企業/事業者は、個人情報管理や個人情報を扱うシステムの存り方を新制度に適応させ、関連法令にのっとってマイナンバーを管理し、運用していくことが義務付けられる。
それでは、マイナンバー制度は、企業の個人情報管理やITシステムの存り方にどのような影響を及ぼし、それにどう対応するのが適切なのか? 日本オラクルは2015年3月、企業の業務/ITシステム担当者が抱くそうした疑問への解をあらためて確認する場として、プライベートセミナー「待ったナシ! マイナンバー──制度が技術的安全管理措置に与える影響とは?」を開催。特別講師として東京工科大学 コンピュータサイエンス学部の手塚悟教授を招き、「マイナンバー制度で、企業(民間事業者)が留意すべきポイントと、取るべき対応」を示した。手塚氏は、「特定個人情報保護委員会」の委員を務め、マイナンバー管理のガイドラインともいえる「特定個人情報の適正な取扱いに関するガイドライン」(以下、特定個人情報取扱いガイドライン)の策定にも深く関わってきた。ここでは、手塚氏の講演を中心に、同セミナーの要旨をリポートする。
※1 2014年3月に公布された「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」に基づく制度をマイナンバー制度と呼ぶ。
「マイナンバー制度」と個人情報保護、「技術的安全管理措置」の関係
マイナンバー制度は、日本国民全てに「唯一無二」の番号(12桁の番号)を割り当て、その番号に基づいて全国自治体/中央行政機関が個別に管理する個人情報の相互連携が実現されるというものだ。これにより、社会保障/税に関わる行政事務の効率化が図られる他、国民一人一人の所得、課すべき税、国が支払うべき社会保障給付金が正確に把握/算定され、公正/公平で間違いや漏れのない税徴収/社会保障給付が実現されるという。
この制度では、各国民の税や社会福祉に関係する情報が、全てマイナンバーによって管理される。そのため、民間事業者は、従業者やその扶養家族、さらには業務を委託した個人からマイナンバーの開示を受け、各者の源泉徴収票/支払調書に記載することが義務付けられる。また、健康保険/雇用保険や厚生年金などの「被保険/受給資格取得届け」の書類にも、当該従業者のマイナンバーを明記する必要がある他、証券会社や保険会社は、顧客との取引内容を記した法廷調書に顧客のマイナンバーを記載しなければならない。
企業が持つ「特定個人情報ファイル」とは
このように、マイナンバー制度の施行後は、日本のほぼ全ての民間事業者がマイナンバーを取り扱うこととなり、厳格な管理が求められる。その中で、民間事業者がまず留意すべき点として、マイナンバー情報を含む「特定個人情報ファイル」の概念があると手塚氏は指摘する。
現在、マイナンバーの「安心/安全確保」を主眼に、行政機関や地方公共団体などのセキュリティリスクを分析する「特定個人情報保護評価」の活動が進められている。手塚氏によれば、この活動で重点的にチェックされるのも、「特定個人情報ファイルがどう扱われるか」であるという。要は、このファイルのセキュリティをしっかりと確保することが、組織におけるマイナンバー管理の本質であり、それは民間事業者にも同様に当てはまるということだ。
マイナンバーとひも付けられる情報は全てマイナンバー法の対象
それでは、特定個人情報ファイルとは、そもそも何なのか。手塚氏は、「このファイルは、マイナンバーを含むデータベースファイルに限定されるものではありません」と注意を促し、次のように説明した。
「特定業務を遂行する上で必要なデータの中にマイナンバーが含まれているなら、そのデータ全体が特定個人情報ファイルになり得ます。言い換えれば、業務でマイナンバーを扱わなければならない担当者がマイナンバーにひも付けてアクセスできる情報は、全て特定個人情報ファイルです」
したがって、マイナンバーを含む個人情報データベースと業務情報のデータベースが物理的に分かれていたとしても、全てが特定個人情報ファイルと見なされる場合があるわけだ。
マイナンバーを格納したデータベースと業務情報データベースが別に存在する場合でも、マイナンバーを扱う業務担当者がマイナンバーとひも付けてアクセスできる範囲は特定個人情報ファイルと見なされる(手塚氏提供資料より抜粋)
マイナンバー法対策は「業務ロール単位でのアクセス制御」がポイント
そこで重要になるのが、「ロール(業務)」視点によるアクセス制御である。「とにかく、まず自組織の中でマイナンバーを取り扱う業務は何なのか、その業務担当者が使うデータベースがどのような構成になっているのかを明確に把握し、ロールベース(業務単位)のアクセス制御を確実に行うことが大切です」と手塚氏は強調する。
「アクセス制御の目的は、もちろん業務でマイナンバーを扱う必要のない者が、マイナンバーにアクセスしたり、触れたりできない状態をシステム的にきちんと担保することです。そのための作業を(マイナンバーの制度運用が始まる)来年(2016年)1月までに終えるのは大変かもしれません。しかし、やっていただくしかないのです」(手塚氏)
なお、こうしたマイナンバー管理の要点については、前出の特定個人情報取扱いガイドラインに全て記載/定義されている。それにのっとって施策を講じれば、マイナンバーの取得/管理/破棄のサイクルを適切に回していくことができるが、いくつか留意すべきことがある。手塚氏は、特に注意を払うべきこととして次の点を指摘した。
「このガイドラインの記述で留意していただきたいポイントの一つに、『業務委託先』の管理があります。例えば、企業によっては人事関係の業務/情報の扱いを外部業者に委託している場合があるでしょう。この場合も、委託元がマイナンバーの管理について全責任を持ち、マイナンバーに関する委託先のセキュリティレベルを自社と同レベルにしなければなりません。
もう一つ、マイナンバーの破棄についても気を付けなければなりません。企業によっては退職者の情報を記録として残しているケースがありますが、マイナンバーだけは当該期間を過ぎた時点で破棄する必要があるのです」
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年5月26日