Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

マイナンバー保管・管理対策 ~技術的安全管理について~

今回は技術的安全管理の4項目とマイナンバーを取り扱う管理ツールついてご説明致します。
前回の安全的管理措置を読まれてから見ることをお勧めいたします。

アクセス制御

担当者以外の者が特定個人情報ファイル等にアクセスができないように、アクセス制限を行う必要があります。

    <ガイドラインによる手法の例示>

  • 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
  • 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
  • ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

セキュリティのポイント!
ユーザーアカウント制御による個人データへのアクセス権を設定することで対応ができます。
administratorやrootなどの特権ユーザーに関しても無条件でファイルにアクセスができないように設定します。

アクセス者の識別と認証

担当者が正当なアクセス権を有する者であることを、識別した結果に基づいて認証する必要があります。

    <ガイドラインによる手法の例示>

  • ユーザーID・パスワード・ICカードを使用してアクセス者を識別する。

セキュリティのポイント!
個人データに対して正当なアクセスであることを確認するために、アクセス権限を持っている担当者本人かどうか認証ができれば良いので、個人データへアクセスするパソコンのログインパスワードを設定します。
ただし、パスワードを設定する場合は下記の点に気を付けて設定をすることをお勧めいたします。

  • 他の端末でのパスワードを共用しない
  • パスワードの文字数を8文字以上にする
  • 推測されやすいパスワードを設定しない(abc123、電話番号など)
  • パスワードを紙などの媒体に記録しておかない

 

外部からの不正アクセスなどの防止

情報システムに対する外部からの不正アクセスや不正ソフトウェアによる侵害から保護する仕組みを導入し、適切に運用する必要があります。

    <ガイドラインによる手法の例示>

  • 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
  • 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
  • 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
  • ログ等の分析を定期的に行い、不正アクセス等を検知する。

セキュリティのポイント!
Windowsのアップデート・ウィルス対策ソフトのアップデートは忘れずに行ってください。
自動更新の設定をしておくと楽に更新ができます。
メーカーのサポートが切れたOSは極力使わないようにしてください。
各ソフトウェアの更新やログの分析を定期的に行いたい場合、ツールを入れずに管理することはとても骨が折れます。
後述するEasyAsetManagerの導入をお勧めいたします。

情報漏洩等の防止

特定の個人情報をインターネットなどにより外部に送信する場合に情報漏洩が起きないように防止する必要があります。
前回の記事、物理的安全管理措置でも紹介している「機器及び電子媒体等の盗難等の防止」の通信に関する部分を取り上げています。

    <ガイドラインによる手法の例示>

  • 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。
  • 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護が考えられる。

セキュリティのポイント!
ツールを使用して暗号化をしたほうが確実ですが、ファイルにパスワードを掛けておくだけでも効果的です。
やり取りする場合のパスワードはあらかじめ決めておきましょう。

IT資産管理・PC監視ツールの導入がマイナンバー管理に有効

IT資産管理・PC監視ツールを使用することでマイナンバーのセキュリティに関する対策がグッと楽になります。
ツールは「LanScope Cat」と「SKYSEA Client View」や「EasyAsetManager」など複数あります。
資産管理・PC監視ツールでお悩みの方は下記の記事をご参考にしてください。
Easy Asset Manager ~情報漏えい・セキュリティ対策~ その1
Easy Asset Manager ~情報漏えい・セキュリティ対策~ その2

IT資産管理・PC監視ツールを導入することによって技術的安全管理措置に対するほとんどの項目で有効です。
IT1
弊社の長澤が紹介している通りですが、導入コストが安く、機能も他の資産管理ツールと見比べても遜色ありません。
マイナンバー対策としても運用が可能ですのでこの機会に検討されてみてはいかがでしょうか。

クラウド管理ツールはマイナンバー対策に有効?

マイナンバーの管理・保管について、社内で管理をせずクラウドに全部預けてしまえるクラウド管理ツールが発表されています。
まだマイナンバーの本格運用には至っていない為、実装されていない機能などがありましたが二つ試用版を試すことができました。

「マイナンバー管理 freee (フリー)」
マイナンバー管理free
「MFクラウドマイナンバー」
MFクラウドナンバー
詳細は各ホームページをご覧ください。

以下に試用してみて気になった点を記述します。

マイナンバーの委託について情報がはっきりしていない
マイナンバーを別の会社に委託する際「委託先に対する監督の義務」が発生します。
今回紹介してきた安全管理措置が委託先でも措置がとられているか確認をし、説明を受け理解されたうえで業務を委託する必要があります。
もし、委託先がいい加減な安全管理措置を行っていて情報漏洩が発生してしまった場合、委託元にも責任を問われることになります。
よって、委託をする際は委託先がどういった対応をしているのか説明を受け見極める必要があります。
クラウド管理ツールですとそういった安全管理措置にたいしての情報が今のところホームページ上でしか確認ができません。
マイナンバーについてはしばらくは自社で管理して、信頼できる管理会社様を見極めてから使用したほうが良いかもしれません。

外部のパソコンからもアクセスできてしまう
ブラウザを通じてインターネットからクラウド管理ツールの管理画面へとアクセスする為、メールアドレスとパスワードが漏れてしまった場合、外部のパソコンからでもアクセスができてしまいます。
メールアドレスとパスワードについては十分気を付けて管理をする必要があります。
今後対応されるかどうかはわかりませんが、端末ごとにアクセス制限する方法が必要ではないかと思いました。

社内のセキュリティ対策は合わせて必要
クラウド管理ツールへアクセスするパソコンがウィルスに感染していた状態では元も子もありません。
「クラウド管理ツールにすべてまかせてあるから安心」というわけにはいきません。
社内の電子媒体に関するセキュリティ対策は合わせて必要になります。

お手頃価格で保管ができる
それぞれ月額1,000円以下でマイナンバーの「保管」ができるところはすごく魅力的だと感じました。(「MFクラウドマイナンバー」は従業員数により月額変動 1,000円以上のプラン有り)自社内で管理する場合、高いセキュリティを求めるとどうしてもコストが高くなってしまいます。そうしたセキュリティとコストの点を一気に解決できるので利用する価値はあるかと思います。
画面もシンプルで見やすいです。

まとめ

今回は技術的安全管理という点から対策や管理ツールを紹介しました。
IT資産管理ツールやクラウド管理ツールは確かに便利ですが、導入すればすべて解決するわけではありません。
日頃から情報セキュリティに対する意識を高く持つことが一番の対策になります。

情報セキュリティに対して少しでも興味がある方から見れば今回紹介した記事はそれほど難しいことをしているわけではありません。
この「それほど難しくないこと」を企業として当たり前にすることが重要だと考えています。
マイナンバーの管理の為に準備をしたり、運用方法を考えたりするのはすごく手間のかかることですが、これを機に社内の情報セキュリティを見直してみてはいかがでしょうか。