ガイドライン策定者の解説で理解する「マイナンバー制度」対策と「技術的安全管理措置」:現場が実践すべきセキュリティ対策のポイントは?(2/2 ページ)
全ての企業が対策必須の「マイナンバー制度」の施行が2016年1月に迫っている。個人情報を含むデータの安全な管理が求められるこの制度、一体どのように対策すれば良いのだろうか? ガイドライン策定にも携わった専門家に、マイナンバー制度に対応した「技術的安全管理措置」の考え方を聞く[セキュリティ対策][Database Security]
日本オラクルではどう進めているのか? グローバルシングルインスタンスがマイナンバー対応に効果
今回のセミナーでは、マイナンバー対応のモデルケースの一つとして、日本オラクルの人事部門における取り組みも紹介された。壇上に立った同社人事部 本部長の遠藤有紀子氏によれば、オラクルのマイナンバー対応についても、「まだ完全とは言えず、走りながら進めている状況」にあるという。ただし、オラクルの社内インフラは、マイナンバー対応を進めやすいアーキテクチャではあるようだ。
オラクルの社内システムは、グローバルシングルインスタンス(一つの統合されたビジネスプラットフォーム)として構成されており、プライベートクラウドの環境を通じてITインフラ、アプリケーション、および業務プロセスが全世界で共通化/標準化されている。つまり、人事データベースや人事制度、そして人事部門の業務プロセスも、グローバルに共通化/標準化されているわけだ。
「この仕組みにより、どの業務の、どのデータに対して、誰が、どのようにアクセスしてよいのかの統制が徹底的に図られています。このことは、マイナンバー制度への対応を進める上でも非常に有効だと感じています」と遠藤氏は語り、次のように付け加えた。
「当社のシステムでは、人事データも含めて、社内のあらゆるデータが当社のデータベースセキュリティ技術/製品によって守られています。そのことも、情報を管理する側にとって非常に心強いことですし、マイナンバーのセキュリティを確保する上で大きな意味を持つと確信しています」
そもそも、企業の人事部門が扱う社員の個人情報は、本人以外は知るべきではないようなセンシティブ(機微)な情報が多い。例えば、個人の業績評価などはその一つだが、オラクルでは、「そうした情報は、ごく限られた者しか見られないよう、常に厳格なアクセス制御を行っている」(遠藤氏)という。そのため、マイナンバーについても、同じスキームで細かなアクセス制御が可能なのだ。
とはいえ、「社員のマイナンバーをどう収集し、本人確認の手続きを済ませるか」「マイナンバーを扱うどのプロセスに、誰をアクセスさせるか」「誰に、どのようなかたちでマイナンバーを扱わせるか」といった点については、既存プロセスも踏まえた検討の途上にある。日本オラクルは現在、それらの詳細を詰め、なおかつシステムのマイナンバー対応を急ぐべく、マイナンバーに関係する人事、法務、会計/給与、システム開発、そして(個人への業務委託を担当している)購買の各担当者が一体となって作業を進めている。このチームでは、定期的にミーティングを持ちながら、例えば会計/給与に関しては帳票関係の方針を定めている他、人事に関しては、どのようにして社員のマイナンバーを収集するかの検討を重ねている。また、その中でシステム開発部門やセキュリティ製品担当部門などとも密接に連携し、システム面でのマイナンバー対応を進めているという。
企業のマイナンバー対応を推進するテンプレート/コンサルサービスを新たに提供
当然のことながら、日本オラクルは顧客に提供する製品/サービスにおいてもマイナンバー対応に力を注いでいる。米情報機関のセキュリティ関連プロジェクトを創業のルーツとするオラクルは、これまでもデータベースセキュリティを強化するための技術/ソリューションを豊富に提供してきた。具体的には、次のような製品である。
- Oracle Advanced SecurityのTransparent Data Encryption(TDE) データベースの本番データ/バックアップデータの暗号化技術
- Data Masking and Subsetting データの伏せ字化(マスキング)ツール Oracle Database Vault データベース管理者の権限管理/アクセス制御を実現するツール
- Oracle Audit Vault and Database Firewall データベースやOSのログを取得し、定常的なレポーティングと不正アクセスの検知を行う監査ツール
- Oracle Advanced SecurityのData Redaction 特定の表に対する参照範囲を列レベルで制限/伏せ字化するツール
- Oracle Virtual Private Database 特定の表に対する行/列レベルでの厳密なアクセス制御を実現し、正規利用者の業務を逸脱した不適切アクセスを防止するツール
日本オラクルでセキュリティ製品を担当し、同社のマイナンバー対応では遠藤氏らのサポートに当たっている大澤清吾氏(製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャー)によれば、これらの製品を活用すれば、既存のアプリケーションに変更を加えることなくデータベースのセキュリティを高められる他、業務視点、データ視点での細かなアクセス制御を実現できる。
例えば、Oracle Database Vaultを使うことにより、データベース管理者の職務分掌が可能となり、「マイナンバーに対する業務担当者(エンドユーザー)のアクセスは細かく制御できるようにしたが、データベース管理者からはマイナンバーが丸見えの状態にある」といった事態を防ぐことができる。また、TDEによるデータの暗号化では、既存のアプリケーションに修正を加える必要がない他、暗号化による処理のオーバーヘッドもわずかといった特徴がある。
オラクルは、こうしたデータベースセキュリティ技術を土台にしながら、ERP製品「Oracle E-Business Suite(EBS)」の人事給与/財務系パッケージのマインナンバー対応モジュールの開発を進めている他、企業におけるマイナンバー対応を加速させるべく、新たに二つのサービスを始動させている。
その一つとして提供されるのは、無償の「マイナンバー対策向け無償テンプレート」だ。これは前出の特定個人情報取扱いガイドラインに基づき「どのような対策を講じるべきか」を割り出すためのヒアリングシートと、対策に応じてTDEやOracle Database Vault、Oracle Audit Vault and Database Firewallなどを実装するためのテンプレート(設計書とサンプルスクリプト)などから構成されている。
また、もう一つは、企業のシステムと、特定個人情報取扱いガイドラインとの「フィット&ギャップ」のアセスメントから、それに基づく対応計画の策定支援、さらには製品導入/運用支援までを包括的に提供する「マイナンバー向けOracle Database Securityコンサルティング・サービス」である。
「マイナンバー制度の運用開始まで、時間的な猶予はほとんどありません。ぜひ、これらのサービスも活用し、より多くのお客さまにマイナンバー対応のスピードを速めていただきたいと考えています」と大澤氏は呼びかける。
マイナンバーの運用開始が来年1月に迫る中、それまでの短い期間で対応を完了させるのは骨の折れる作業に違いない。だが、手塚氏も言うように、これは日本で活動する事業者が期限までに「やるしかない」作業である。しかも、行政サイドはマイナンバーの利用範囲拡大に今後も力を注ぎ、預貯金/戸籍にもマイナンバーを適用させる構えを見せている。また、「個人番号カード(マイナンバーカード)」の利便性を高め、国民一人一人への普及にも拍車をかけていく考えだ。となれば、民間企業がマイナンバーを扱う機会は、さらに増える可能性がある。
短期間での「スピーディーなシステム対応」と運用開始後の「厳格なセキュリティ確保」が求められるマイナンバー対応は目下、企業の業務/IT部門にとって最大の共通課題の一つだ。創業以来、データベースセキュリティを最重要テーマの一つとして取り組んできたオラクルは、この課題に迅速かつ適切なコストで対応する手立てを、すでに用意している。本サイト読者には、今回新たに提供が開始された二つのサービスも活用し、ぜひ迅速かつ適切なマイナンバー対応を進めていただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年5月26日