マイナンバーを収集・取得後の利用管理について、近年中小企業に於ける人員の増強が見込めないなどの理由から、クラウドを利用した管理が手段として広がりを見せております。このまとめでは、クラウドを導入するためのガイドラインや、その注意事項をまとめました。
クラウドとは?
「クラウド」(雲)は、ネットワーク(通常はインターネット)を表す。従来より「コンピュータシステムのイメージ図」ではネットワークを雲の図で表す場合が多く、それが由来と言われている。クラウドコンピューティング(英: cloud computing)とは、ネットワーク、特にインターネットをベースとしたコンピュータの利用形態である。従来のコンピュータ利用は、ユーザー(企業、個人など)がコンピュータのハードウェア、ソフトウェア、データなどを、自分自身で保有・管理していたのに対し、クラウドコンピューティングでは「ユーザーはインターネットの向こう側からサービスを受け、サービス利用料金を払う」形になる。ただし、「クラウド」自体の定義は明確でなく、バズワードとして利用されることが多い。
情報漏えいが発生した場合に起こること
マイナンバーは重要な個人情報であるため、全ての企業に厳格な安全管理措置対策が求められます。
万が一マイナンバー漏洩の問題を起こした場合は、個人に二次被害が発生する可能性や以下のようなデメリットが想定されます。罰則(一例)
「4年以下の懲役」または「200万円以下の罰金」またはその両方が科されます。企業イメージへの悪影響
取引先からの信用を失い、場合によっては取引停止のリスクもあります。原因究明と再発防止策の対応
原因究明と再発防止のため、多大なコストと対応工数が発生します。損害賠償の可能性
漏えいの被害者や二次被害者から損害賠償を請求される可能性があります。
できればマイナンバーは会社に保管したくない
マイナンバーを従業員などより収集したら、外部に漏洩しないよう
安全管理措置を講じなくてはいけないことになっています。マイナンバーは単なるIDであり、それだけが他人に知られたところで
何も実害はないはずなのですが、国が厳重に保管せよと言う以上
ひとまずそれに従うしかありません。ただ、100%情報の漏洩しないシステムなどないので、
できれば会社内にマイナンバーは保管はしたくはない。そのため、クラウド上でマイナンバーを管理するツールが
続々と開発されてきています。
クラウドサービスを使うときに気をつけることは?
ガイドラインが強調しているのは
委託先の適切な選定
委託先において、「マイナンバー法が求める水準の安全管理措置を講じるか」について、あらかじめ確認する必要があるでしょう。
ガイドラインによりますと、選定にあたっての確認の対象として、委託先の設備、技術水準、従業者に対する監督・教育の状況などが挙げられています。
委託先に安全管理措置を遵守させるために必要な契約の締結
ガイドラインは、次のような規定を入れておくことを求めています。それは、「秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定」
委託先における特定個人情報の取扱状況の把握
個人情報に関する既存の委託契約がある場合、その契約において、マイナンバー法が求める水準の個人情報の取扱いの規定があり、その契約内容でマイナンバー法上必要な安全管理措置が講じられているのであれば、委託契約を再締結する必要はないとされています。
収集から破棄までが適切になされるかを確認
マイナンバーの収集についても、これを委託すれば、委託先が従業員等から直接マイナンバーを収集することができます。収集の段階から委託する場合は、業務上必要な場合のみ、従業員が自らクラウド上にマイナンバーを登録するという方法がとられることになるでしょう。
ご存じですか? クラウド導入のためのガイドライン
現在、クラウドを導入、使いはじめるユーザは日々増加しています。その勢いは衰えることを知りません。そして、それに伴い、国内外問わず、新しいクラウドサービスが誕生しています。
導入の際、インターネット、クラウドプロバイダーから様々な最新情報を取り入れることができるでしょう。しかし、それの良し悪しを見極めるにはきちんとした基本を抑える必要があります。
そのような場合、何を頼るべきでしょうか。
実は公的機関からクラウド導入の際のガイドラインが発行されているのをご存知ですか?
今回はいくつかのガイドラインをご紹介します。
経済産業省
経済産業省は2014年3月に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を改訂しました。
初版からクラウドサービスの多様化による情報セキュリティリスクの顕在化にともなって、現状に合わせた内容の追加、編集が行われています。
また、企業より具体的な対策、事例の記載の希望が多かったため、活用ガイドブックも新たに作成されました。こちらではクラウドサービス利用におけるリスクに対しての解説と、該当するクラウドセキュリティガイドラインの紐付けが行われています。
ガイドラインでは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことがまとめられているとのことです。また新たに作成した活用ガイドブックでは、
(1)クラウドサービスの構造
(2)クラウドセキュリティの考え方
(3)ガイドラインを利用したリスク分析手法
(4)クラウド利用者のためのガイドライン活用
(5)クラウド事業者のためのガイドライン活用
(6)クラウド契約時の契約書やサービスレベル合意書(SLA)
が具体的にに説明されています。
<クラウドサービス利用のための情報セキュリティマネジメントガイドライン>
独立行政法人情報処理推進機構
こちらは情報処理試験でお馴染みのIPAです。こちらでも中小企業向け、となりますが、「クラウドサービス安全利用のすすめ」というガイドラインを提供しています。こちらでもクラウドを安全に利用するにあたっての確認項目を掲載しています。サービス導入の際の目安の一つとして、確認すると良いかと思います。
またIPAではクラウドを導入した企業の情シス担当にアンケートを実施し、導入の実態や、利用してみての課題などをまとめた報告書も数多く提供しています。こちらにも目を通すと、自社に似通ったケースを発見できるかも知れません。
<クラウドサービス安全利用のすすめ>
まとめ
対し担当者を決めて、対応することは、人件費などのコスト面から、この制度自体が、重荷になってしまうような状況が考えられます。そのために従業員数が100名以下の企業に於いては、マイナンバーを適切に管理するために、特例処置というものが認められております。
あるいは、中小に限らず、大企業に於いても、安全管理の業務担当者への教育や、指導等に膨大な時間を取られ、その秘密保持の観点からも、非常に重要な部署となってしまいます。
そんなところから、パソコンによる安全管理措置として、手元にマイナンバーを保管しなくても良いクラウド型マイナンバー管理システムが見直されてまいりました。
そこで今回、クラウドシステムを導入するにあたり、どのような注意をしたらよいか、導入のためのガイドラインなどをまとめてみました。
今回一人ひとりに付与されたマイナンバーは、個人情報保護法よりももっと厳重な保護措置がとられるほどの重要なもの。あらゆる公共機関、そして今後は金融や医療分野の個人情報にアクセスできるカギとなる情報だからです。