ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
日本の社会制度の仕組みを大きく変えるといわれるマイナンバー(社会保障・税番号)制度。2015年10月からの通知開始に続いて、2016年から社会保障・税・災害対策といった3分野での利用から順次始まった。
ビジネス関連では雇用保険や源泉徴収票など社会保障・税に関する手続き書類にマイナンバーの記載が求められるほか、来年以降は国および地方自治体での行政手続きで幅広い連携が予定されている。各事業者は導入に向けて準備を進めてきたが、いよいよ実際に社員のマイナンバーを収集し、管理・運用を開始する段階に入ったわけだ。
政府はマイナンバーを扱うすべての事業者に対して「必要かつ適切な安全管理措置」を講じることを求めている。制度の導入が決まって以降、さまざまな手段で周知されてきたこともあり、安全管理措置の必要性そのものについてはかなり理解が進んだようだ。しかし現在、対応が完了したと胸を張って宣言できる企業はどのくらいあるだろうか。
帝国データバンクが2015年10月に行った調査結果では「対応は完了した」と答えた企業は6.4%にとどまり、65.9%は「対応中」だ。「予定はあるが、何もしていない」企業が21.6%もある。このデータからも“必要性は分かっているが、どう対応したらいいか決められない”という企業の本音が読み取れる。そこで、運用開始を迎えた今、もう一度この安全管理措置について確認したい。
安全管理措置は大きく「組織・人・物理・技術」の4種に分けられる。それぞれの措置について再確認するための最終チェック項目を挙げてみた。
(1)組織的安全管理措置
・情報セキュリティ対策の責任者を決め、必要な規定を定めているか
・マイナンバーの取り扱い状況が分かるように記録を保存しているか
(2)人的安全管理措置
・従業員にマイナンバー保護についての教育を行っているか
・秘密保持に関する事項を就業規則に盛り込んでいるか
(3)物理的安全管理措置
・マイナンバーを扱う区域を決め、情報漏えいや盗難への対策を行っているか
・電子媒体、書類などを持ち出す場合のセキュリティ対策を行っているか
(4)技術的安全管理措置
・マイナンバーを扱う機器にアクセスする社員を制限しているか
・外部からの不正アクセスを防止する仕組みを導入しているか
いかがだろうか。ここに挙げた項目は、マイナンバーを扱うすべての事業者が行う必要がある。もし行っていない項目がある場合、万一漏えいや紛失が起きた際は重大な責任が問われる。
4種類の安全管理措置のうち(1)から(3)までは、必ずしも情報システムの専門知識がなくても実行可能なことから、比較的手を付けやすい。しかし、(4)の「技術的安全管理措置」は情報システムに対する専門的な知識が必要な上、相応のコスト負担も生じるため後手に回りがちだ。
技術的安全管理措置で防止すべき脅威は、「内部脅威」と「外部脅威」に分けられる。内部脅威とは組織内部のデータへの不正アクセス・不正持ち出し・データ消失などがあり、事業者自らが対策を講じなくてはならない。マイナンバーを扱う機器は専任の担当者が操作するのは当然だが、それ以外の人が閲覧できる状態では管理しているといえない。具体的には利用者ごとのアクセス権限の明確化、個々のアクセスを記録したログ管理などが求められる。
外部脅威にはインターネットを介した外部からの不正アクセス、ウイルス感染によるデータ流出、さらには拠点間通信時の情報漏えいなどが挙げられる。総務省のガイドラインでは外部との接続箇所へのファイアウオール設置や、ウイルス対策ソフトウエアの導入、通信ログの分析といった手法が例示されている。
これらの脅威への対策は、単に「注意する」というレベルでは不十分だ。内部脅威に対してはマイナンバーを含む特定個人情報を安全に保管するためのNAS(外部記憶装置)導入や、いつ、誰がデータを使用したかを確認するログ管理など、担当者以外の人がデータに触れられない環境を整備しておく必要がある。
外部脅威にはウイルス対策ソフトに頼るだけでなく、不審なパケットを遮断するファイアウオールや有害サイトへのアクセス防止機能など、日々生じるさまざまな危険からシステムを守るための仕組み構築が求められる。個別の対応が難しい場合は、これらの脅威に包括的に対処するサービスとして普及が進みつつあるUTM(統合脅威管理)や、拠点間通信の暗号化などにより安全性を高めたVPN(仮想プライベートネットワーク)の導入も検討されるべきだろう。
マイナンバー導入を機に情報保護の大切さを再認識し、まず自社で対応できることは何か、そして、専門的なサポートが必要な部分は何かを区別し、必要に応じて適切にプロのアドバイスを受けることがポイントになると思われる。
執筆=林 達哉
【MT】