この1月、いよいよスタートしたマイナンバー制度。アメリカ、韓国、イギリスなどをはじめ、いわゆる「国民総背番号制度」を採用している国は多い。日本国民としては、各国で浮き彫りになった課題を、日本政府が十分に検討した上で導入した…と考えたいところだが、運用・管理については民間企業にも大きな責任が課せられており、万が一の事態が起きた際に「制度の不備」という言い訳だけでは通用しないだろう。
本稿では、セキュリティの専門企業として豊富な実績を持つペンタセキュリティシステムズ・日本法人(以下、ペンタセキュリティ)を訪ね、マイナンバーの運用・管理に関して日本企業がチェックしておくべきポイントを聞いた。同社が本拠地を持つ韓国では、1968年からマイナンバーに相当する住民登録番号制度を採用しており、この50年の間に韓国内で浮上した制度の問題点や課題なども聞くことができた。
識別と認証。使い方を誤らない注意が必要
「韓国の住民登録番号は、そもそも北朝鮮からのスパイ活動を防ぐ目的で、密入国者と韓国の国民を識別する手段として導入されたものでした」と、ペンタセキュリティ 日本法人代表取締役社長・陳 貞喜(ジン・ジョンヒ)氏は語る。住民登録番号は、各人の生年月日、性別、出生地などが13桁の数字で表されたものだ。番号の構造が明確に決められているため、警察は、職務質問時番号カードの提示を要求し、その番号を本人と照らし合わせ、スパイかどうかをある程度その場で特定していた。
当初は、その場で個人を特定できる手段が必要な時代背景であり、番号自体に情報を持たせすぎていた。国民一人ひとりに対して、ユニークな番号を割り当てることに対しての危険等考慮できる時代ではなかった。しかし、社会のネットワーク化が進む中で、行政サービスのオンライン化やネットショッピング、ネットバンキング等が急速に浸透するに従い、これらのシステムでは「この人は誰なのか」という識別と「識別した当の本人で間違いないのか」の認証の両方に住民登録番号を採用した。つまり、住民登録番号は単なる識別番号から、認証手段(パスワード)としての性格をも持つようになっていく。簡単に言えば、他人の住民登録番号を知っていれば、その人である証明にもなるとのことだ。
ユニークである番号には、口座情報、クレジットカード情報、医療記録等多数の個人情報が紐づいており、番号が漏洩することで、多数の個人情報が流出する事態に拡大していった。例えば、漏洩された番号と個人情報を利用した、成りすましやオンライン詐欺が起きるなど社会問題が起きるまでになった。(現在は、このような個人情報に対しては、暗号化が法律的に義務付けられていたり等法律レベルで番号システムの弱点を補っている。そして、個人の認証にはInternet Personal Identification Number、i-PINをが導入する等住民登録番号を直接打ち込むことがないよう様々な対策を設けているされている)
「マイナンバーは、韓国の住民登録番号とは違って、番号自体は意味を持っていない、ただの数字の羅列にすぎません。つまり、番号自体がセキュリティ的なリスクを生み出しているわけではありません。ただし、これから様々なシステム、サービスと連携させることになり、ありとあらゆる個人情報と紐づいていくことになっていくでしょう。 だたの数字ではなくなりますので、マイナンバーのセキュリティ対策を設けなければいけません。
まずは、識別と認証を混用しないことです。個人の識別という限定した用途のみで使っていくようにしなければ、大きなセキュリティ問題になるでしょう。また、日本国民個人レベルでも、自分の提供したマイナンバーがどんな運用体制で使われるのかを、しっかりチェックしておく必要があると思います」(陳氏)
ガイドラインに沿って、安全管理措置を確認
内閣府は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を示しておりマイナンバーを収集・利用する事業者に対して、4つの安全措置を定めている。その4つとは、事業者内で情報取扱いの担当者とその権限を明確にすることなどを定めた「組織的安全管理措置」、担当者の監督や教育に関する「人的安全管理措置」、情報を扱う区域や機器に対する「物理的安全管理措置」、そしてアクセス制御や識別・認証などについての「技術的安全管理措置」だ。
その中でも、「技術的安全管理措置」については、各社から様々なマイナンバー対応ソリューションがリリースされており、選定に悩んでいる方も多いだろう。導入するソリューションが本当に適切なものなのか、事前に確認しておくべきことを、陳氏に聞いてみた。チェックポイントは大きく分けて、以下の4つで、実はみんな知っている当たり前なことだという。既に導入されている方は、自社のソリューションが各ポイントをクリアしているかどうか、再確認してみていただきたい。
ソリューション導入の4大チェックポイント
【1:セキュリティ設計】 データの暗号化、厳密なアクセス制限、不必要なデータに触れないようにするための権限分離、そしてログ管理がきちんとできる設計になっているかどうか。情報漏洩を防ぐのはもちろんだが、万が一漏洩があった際、無関係な担当者が責任を問われないようにするためにも、権限分離やログ管理は重要。
【2:導入時、既存システムに修正が必要か】 既存のシステムと連携させるために大幅な修正が必要になればなるほど、不具合が起こる危険性も、導入コストも高まってしまう。なるべく運用中の既存システムに影響の出ないソリューションを選択すべき。
【3:通信区間の暗号化】 導入する新システムと既存システムを連携させるにあたり、その通信区間を流れるデータの暗号化ができているかどうか。通信区間が平文では、DB暗号化の意味をなさない。
【4:導入後のサポート体制】 定期的なバージョンアップやトラブル時の対応など、サポート体制がしっかりとしたソリューションであるかどうか。
「昨年あたりから、マイナンバーに関する様々なセキュリティ対策ソリューションが出てきていますが、部分的なセキュリティだけを扱ったソリューションも多いようです。セキュリティは、部分ではなくトータルに設計されていないと「セキュリティ」とは言えません。検討中のソリューションが「暗号化=セキュリティ」ではないのと同じです。
セキュリティ製品として設計されていてシステム全体をカバーできているかどうか、今からでも確認しておくべきだと思います」(陳氏)
マイナンバー自体が社会的な関心事であるだけに、制度開始早々のタイミングで情報漏洩があれば、企業全体の信用失墜につながることは避けられない。この機会に安全措置をもう一度見直すことで、情報の安全度と企業としての安心感を高めていただきたい。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:ペンタセキュリティ