システム導入にあたってチェックするポイントは？韓国セキュリティ専門企業が指摘！

マイナンバーを管理するシステムについてあれこれ悩んでいる企業担当者の方は多いでしょう。すでにマイナンバーに類似する制度を導入している韓国のセキュリティ専門企業が、システムを選ぶ際のチェックポイントを指摘しています。企業担当者の方は是非目を通してみてください。

スパイ取り締まり目的で導入した韓国

via 4.bp.blogspot.com

　韓国で住民登録番号制度が始まったのは１９６８年と、すでに50年近くの歴史がある。導入のきっかけは同年、当時の朴正煕（パクチョンヒ）大統領が青瓦台（大統領府）で朝鮮人民軍のゲリラ部隊に襲撃される暗殺未遂事件が発生したことだった。北朝鮮のスパイを選び出す目的で住民登録を実施し、個人に番号を付ける制度がスタート。また、この時から出生の届け出と同時に住民登録番号を付けることにもなった。当時はＩＴ化も進んでいない時代。住民登録番号を生年月日などと関連させたのは、個人情報をあえて露出させることでスパイではないことを証明する必要があったからだろう。
via エコノミスト・リポート：韓国「マイナンバー」の経験と教訓　2015年11月3日特大号 – 世界と日本でいま起きている経済事象の核心をあますことなく伝えます

隣国の韓国では住民登録番号制度という名称でマイナンバーに類似する制度が導入されています。情報漏洩トラブルも経験しているため、日本の企業担当者にとっても韓国のセキュリティ専門企業が指摘するチェックポイントに目を通しておくことは有意義なことです。

マイナンバーを取り扱う企業には安全管理措置が課される！

via blogimg.goo.ne.jp

安全管理措置の４分類

1. 組織的安全管理措置
以下の5つがあります。
・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏洩事案に対応する体制の整備
・取扱状況把握及び安全管理措置の見直し
2. 人的安全管理措置
以下の2つがあります。
・事務取扱担当者の監督
・事務取扱担当者の教育
3. 物理的安全管理措置
以下の4つがあります。
・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄
4. 技術的安全管理措置
以下の4つがあります。
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏洩等の防止
via 安全管理措置とは？5つの手順まとめ｜マイナンバー制度の基本知識

近年個人情報管理の重要性はますます高まっているので、マイナンバー制度の導入にあたり企業において取り扱う特定個人情報の管理は厳重にすることが求められます。

システム導入の際にチェックするのは？技術的安全管理措置！

via file.koni06.blog.shinobi.jp

内閣府は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を示しておりマイナンバーを収集・利用する事業者に対して、4つの安全措置を定めている。その4つとは、事業者内で情報取扱いの担当者とその権限を明確にすることなどを定めた「組織的安全管理措置」、担当者の監督や教育に関する「人的安全管理措置」、情報を扱う区域や機器に対する「物理的安全管理措置」、そしてアクセス制御や識別・認証などについての「技術的安全管理措置」だ。
その中でも、「技術的安全管理措置」については、各社から様々なマイナンバー対応ソリューションがリリースされており、選定に悩んでいる方も多いだろう。
via マイナンバー制度の管理・運用を再認識せよ – 導入ソリューションの安全度チェック！ | マイナビニュース

技術的管理措置の内容

アクセス制御

PCなどを使用してマイナンバー取扱事務を行う際には、適切な事務取扱担当者以外の者が特定個人情報ファイル等にアクセスができないように、アクセス制限を行う必要があります。
この場合の「適切な取扱事務担当者」とは、あらかじめ設定された目的に従って、自身に与えられた権限の範囲内で事務を取り扱う者のことをいいます。
従って、源泉徴収票の作成事務を担当する者であっても、雇用保険関係の事務での特定個人情報ファイルにはアクセスできないような制限を講じる必要があります。
また、社内イントラの管理者等システム全体の管理者であっても、マイナンバーの事務取扱担当者でない場合は、特定個人情報ファイルにアクセスすることはできません。
番号法及びガイドラインでは、以下の方法を例示しています。
個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する
特定個人情報ファイルを取扱う情報システムを、アクセス制限により限定する
ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取扱う情報システムを使用できる者を事務取扱担当者に限定する
via マイナンバーの安全管理措置の構築を支援します｜技術的安全管理措置編

アクセス者の識別と認証

特定個人情報等を扱う情報システム等においては、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づいて認証する必要があります。
要するに、事務を行うにあたって、事務取扱担当者であり、正当なアクセス権を有していることをシステム上確認する必要があるということです。
番号法及びガイドラインでは、以下の方法を例示しています。
事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる
via マイナンバーの安全管理措置の構築を支援します｜技術的安全管理措置編

他にも、外部からの不正アクセスや情報漏えいの防止などが挙げられます。
データのセキュリティについて何もしていない企業はマイナンバー制度に合わせてセキュリティ体制を見直す必要があります。

ソリューションを導入する際のチェックポイントは？トータルに設計されていることが重要！

４つのチェックポイント

【1:セキュリティ設計】データの暗号化、厳密なアクセス制限、不必要なデータに触れないようにするための権限分離、そしてログ管理がきちんとできる設計になっているかどうか。情報漏洩を防ぐのはもちろんだが、万が一漏洩があった際、無関係な担当者が責任を問われないようにするためにも、権限分離やログ管理は重要。
【2:導入時、既存システムに修正が必要か】既存のシステムと連携させるために大幅な修正が必要になればなるほど、不具合が起こる危険性も、導入コストも高まってしまう。なるべく運用中の既存システムに影響の出ないソリューションを選択すべき。
【3:通信区間の暗号化】導入する新システムと既存システムを連携させるにあたり、その通信区間を流れるデータの暗号化ができているかどうか。通信区間が平文では、DB暗号化の意味をなさない。
【4:導入後のサポート体制】定期的なバージョンアップやトラブル時の対応など、サポート体制がしっかりとしたソリューションであるかどうか。
via マイナンバー制度の管理・運用を再認識せよ – 導入ソリューションの安全度チェック！ | マイナビニュース

暗号化するだけでは意味がない！

「昨年あたりから、マイナンバーに関する様々なセキュリティ対策ソリューションが出てきていますが、部分的なセキュリティだけを扱ったソリューションも多いようです。セキュリティは、部分ではなくトータルに設計されていないと「セキュリティ」とは言えません。検討中のソリューションが「暗号化＝セキュリティ」ではないのと同じです。
セキュリティ製品として設計されていてシステム全体をカバーできているかどうか、今からでも確認しておくべきだと思います」(陳氏)
via マイナンバー制度の管理・運用を再認識せよ – 導入ソリューションの安全度チェック！ | マイナビニュース

特定個人情報に関するデータを暗号化するだけでなく、漏洩後の事後対応や既存のシステムとの相性も考えてシステムを選別しなくてはいけません。技術的安全管理措置以外の安全管理措置との兼ね合いも大切です。