マイナンバーのセキュリティを正しく理解していますか?セキュリティとは言ってもネット上の話ではないんです。どこからどのように守っていけば良いのかしっかり把握しましょう。
マイナンバーの概念
マイナンバーは住民票コードと似ているように思いがちだが、住民票コードは企業内システムで管理すべきものではないため、マイナンバーとはその性格が全く異なる。つまりマイナンバーは、様々な個人情報と呼ばれる「項目」の中で最も重要な「個人情報」というわけだ。
マイナンバーは今まで存在しなかった“新しい情報”となるため、既存システムでの取り扱いは「追加情報」として認識されることになる。上述のように極めて重要な情報ではあるが、システムからみれば「追加情報」の1つに過ぎない。そういう状況になるのはやむを得ないが、セキュリティを考えれば、この追加情報ではアクセスコントロールが大切であり、十分な検証が必要となる。
via www.ntts.co.jp
ガイドラインでも安全管理は定められています。
マイナンバーの安全管理措置
事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
中小規模事業者に対する特例を設けることにより、実務への影響に配慮しています。
アクセスコントロールの徹底
「たとえアプリケーション側でアクセス制御を行ったとしても、データベース管理者など特権ユーザーのアクセス制御を厳密に行っていないシステムでは、他のシステムのデータと同様、特権ユーザーにマイナンバーが見えてしまう可能性があります。その場合、その組織のシステム全体を安全管理措置の対象としなければならなくなるかもしれません。それを避けるには、特権ユーザーも含めた厳格な権限管理/データベースアクセス制御が必要となるのです」(大澤氏)
アプリやツールなどでアクセスを制御することは確かにできます。
ですがそれは一時的措置に過ぎないこととが多いようです。
先ずは誰がアクセスできるのか、自分はしっかり責任を持てるのかを徹底していきましょう。
ですがそれは一時的措置に過ぎないこととが多いようです。
先ずは誰がアクセスできるのか、自分はしっかり責任を持てるのかを徹底していきましょう。
via img.freepik.com
情報漏えいに備えていく
「外部からの脅威による漏えい」の対策として「PC環境整備」が有効です。
ウイルス対策ソフトやOS更新プログラムのアップデートの最新版を適用するなど、常にPCを最新の環境に維持することが重要です。もし環境情報の把握漏れがあった場合は、ネットワーク経由でアップデートを配信・適用することにより常に最新の環境に保つことができます。
最近のウイルスソフトは外部からのアクセスを防止するだけではありません。
PCのファイルなどを誰が持ち出したかの操作記録や閲覧記録を確認できるツールというのも存在しています。
PCのファイルなどを誰が持ち出したかの操作記録や閲覧記録を確認できるツールというのも存在しています。
削除だけではなくバックアップも考えましょう
情報の紛失・漏えい事故が起こったり、管理体制の危うさが明るみに出るようなことがあれば、その企業は、市場から“一発退場”させられてしまう可能性もあるのがマイナンバー。そこで重要になるのが、データを冗長化し、万一の自然災害や機器の破損、人的ミスといった様々なリスクから守る「バックアップ」の仕組みを用意することだ。
せっかく通常の運営は上手くいっているのに、予期せぬミスで大損というのは誰もが避けたい考えだと思います。
従業員の管理や信頼につなげるために手を抜かないで管理しましょう。
従業員の管理や信頼につなげるために手を抜かないで管理しましょう。
まとめ
ここに書いてあることは一見すると難しいように感じるかもしれません。
それほど従業員数も取引先も広くない企業の場合は、
アクセスコントロールは自分が責任者として、情報漏えいなどはPCを別にしたり、
バックアップはメモリーステックの保管を徹底する等を行うだけでも
自分たちで管理はできると思います。
あとは企業の規模によりコスト面を考えていきましょう。
それほど従業員数も取引先も広くない企業の場合は、
アクセスコントロールは自分が責任者として、情報漏えいなどはPCを別にしたり、
バックアップはメモリーステックの保管を徹底する等を行うだけでも
自分たちで管理はできると思います。
あとは企業の規模によりコスト面を考えていきましょう。
電話やメールなどでやり取りを行っている状況がある場合や誰が情報にアクセスできるのか、その他様々な面において考えることが必要になってきます。