FinalCodeブログ

  • 2015/11/02

マイナンバー対応が大変なことは分かった……で、具体的に何をすればいいの?

マイナンバー対応、何をすればいいか迷ったらJNSAのポータルサイトをチェック!

2015年10月より、いよいよマイナンバー制度がスタートしました。まずは私たち国民1人1人に対してマイナンバーが通知され、そして2016年1月からは企業の業務においてマイナンバーの取り扱いがスタートします。既に多くの企業がマイナンバー導入に伴うさまざまな対応を始めており、中にはかなり早い段階から準備を進めてきたおかげで、既に大半の対応を終えているところもあると聞きます。

しかし、マイナンバー対応に潤沢な人員と予算を割ける大企業ならいざ知らず、中堅・中小企業の多くは未だに情報収集の段階で足踏みしており、なかなか具体的な対策まで踏み出せないのが実情のようです。確かに、政府の広報活動も手伝ってか、いまやあらゆるところでマイナンバーに関する情報を目にすることができます。しかし、あちこちにさまざまな内容やレベルの情報が散在しているおかげで、自社で本当に必要な情報を見定めることができず、結果として自社で行うべき具体的な施策まで落とし込めないケースが散見されます。

こうした企業の声に応えようと、日本ネットワークセキュリティ協会(JNSA)が「マイナンバー対応のための情報ポータル(企業向け)」というポータルサイトを一般公開しています。ここでは、企業がマイナンバー対応を行う上で必要となる情報を一箇所に集め、分類し、それぞれに専門家のコメントを付けることで、企業のマイナンバー担当者や経営者、あるいは一般社員が各々必要とするマイナンバー関連情報を効率よく入手できるようになっています。

また、企業が取るべき具体的な施策が簡単に分かるよう、対策の一覧をまとめて公開しています。例えば「マイナンバー業務プロセス・リスク分析シート」というドキュメントには、マイナンバー取り扱い業務の典型的な業務プロセスと、それぞれのプロセスに潜む情報漏洩リスクや運用課題、そしてそれらに対する具体的な対応策を提示しています。また「マイナンバーの安全管理措置チェックシート」では、マイナンバー情報の漏洩を防ぐために企業が取るべき安全管理措置の具体的な内容を、チェックシート形式にまとめています。企業はこれに従うことで、安全管理措置を漏れなく実施できるようになります。

ちなみにJNSAは、多くの情報セキュリティ企業が集まって運営されている特定非営利活動法人です。デジタルアーツもその活動に深く関わっており、特に今回のマイナンバー関連の情報発信に関しては検討ワーキンググループのサブリーダーを務めるなど、中心的な役割を果たしています。

人手や一般的なITツールでは対応が難しい安全管理措置も!

これらJNSAが発信する各種情報のうち、IT関係の方々にとって最も興味が高いのは、恐らく「マイナンバーの安全管理措置チェックシート」ではないでしょうか。これは、安全管理措置を取る上で「最低限取るべき措置」と「オプションとして取るべき措置」をJNSAの検討チームで洗い出し、チェックシートの形で整理したものです。

「このチェックシートに従えば、わが社の安全管理措置は万全!」

できれば胸を張ってこう言いたいところですが……実際のところは、いざ実行に移すとなると多くの困難に直面するチェック項目も少なくありません。例えば、「USBメモリなど記録メディアへの書き込み規制、プリントアウト規制を行う。また、暗号化して廃棄されるまでの間のファイルアクセス履歴をログにて記録する」という措置を実現するには、USBメモリへの書き込みを規制する仕組み、印刷を規制する仕組み、ログを記録・管理する仕組みと、複数のセキュリティソリューションを導入し、それぞれを適切に運用していく必要があります。

また、「人事異動や担当変更によるアクセス権限の変更を、迅速かつ確実に行うためにActive Directory等アクセス権限設定管理機能を活用~」「特定個人情報ファイルへのアクセスログを記録・保存することで、故意の漏洩抑止と迅速な侵害発生時の原因究明を実現する」といった項目も設けられていますが、これも別途、アクセス権限を管理する仕組みを導入・運用する必要があります。

さらには、社外の第三者に提供した特定個人情報が、第三者経由で漏洩してしまった場合も、提供元の企業は一定の責任を負わなくてはいけません。そのため同チェックシートでも「管理区域・取扱区域外への個人番号および個人情報を含む書類、媒体、携帯可能なコンピュータ等に関する持ち出しについて、持出管理記録簿で以下項目を管理する~」というチェック項目を設けています。しかし記録簿による管理をいちいち人手で行うには膨大な手間が掛かる上、たとえ漏れなく管理したとしても、それ自体は第三者経由での漏洩を抑止する効果は期待できません。

しかし幸いなことに、これらの措置のかなりの部分を1つでカバーしてくれるセキュリティソリューションも、少ないながら存在します。「FinalCode」もその1つで、ファイルを社内で扱う際はもちろん、社外に提供した場合でも不正なアクセスや印刷・コピーを防止・監視することができます。

「FinalCode」によるマイナンバーのセキュリティ対策の流れ

また、ファイルの暗号化から社外への提供、さらにそれが破棄されるまでの一連のライフサイクル全体に渡って、ファイルに対するアクセス状況をリモートから監視し、詳細なログを記録できます。そのため、マイナンバーの安全管理措置が定める「暗号化して廃棄されるまでの間のファイルアクセス履歴をログにて記録する」という要件を完全に満たすことができます。

現時点では、社外に提供したファイルをこれほどきめ細かく制御できる製品は、「FinalCode」を除いて存在しません。「FinalCode」にはこのほかにも、企業がマイナンバー対応を行う際に役立つさまざまな機能を備えています。こちらのページに、「FinalCode」によるマイナンバーのセキュリティ対策に関する情報を掲載しておりますので、興味をお持ちの方はぜひご参照ください。
<「FinalCode」製品担当:松森>



資料請求、導入、ご購入に関するお問い合わせ

ご購入や導入方法、資料請求、お見積りについてのお問い合わせは下記で承っております。

▼お電話によるお問い合わせ
03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)
▼オンラインフォームによるお問い合わせ
資料請求・お問い合わせ

試用版ご利用のお申し込み

SaaS(クラウド版)の「FinalCode」を30日間無料でご試用いただけるライセンスをご用意しております。お気軽にお申し込みください。


お問い合わせ・資料請求

30日間無料試用版ご利用の申込み

このページの先頭へ