ペンタセキュリティシステムズはこのほど、「マイナンバーの導入!カギとなるのは、データの暗号化!」と題するコラムを公開した。10月から導入予されるマイナンバーをセキュリティ専門企業の観点で解説している。
コラムでは、韓国版のマイナンバーとも言える「住民登録番号」を例に、マイナンバーの管理システムが今後取り組むべき課題を解説している。住民登録番号とは、韓国の国民が出生時に付与される識別番号だ。
住民登録番号の問題点は大きく2つあると指摘。1つ目は、個人識別番号に盛り込まれている個人情報が多いことで、特定人物の生年月日、性別、出身地域だけでなく、これらをヒントにさまざまな情報を推測できるという。マイナンバーは、住民登録番号のような識別番号に個人情報が盛り込まれていないため、韓国と同様の問題は起こらないと推測している。
2つ目は、企業が提供するネットサービスやデータベースにログインするため、識別番号が固有のID(識別インデックス)として使われていること。利用者は識別番号でさまざまサービスを使え、IDの管理も楽などのメリットがあるが、その反面で企業のセキュリティの問題は甚大だ。万一、企業のセキュリティ事故が起きると、識別番号の大量に流出したり盗み出されてしまう。
この問題を重く受け止めた韓国政府は、「i-PIN」というインターネット上で使える身元確認番号システムを開発した。これを利用することで、ネット上での本人認証が可能となり、万一の情報流出が発生した場合でも、情報を盗みとられるリスクが少ない。
i-PINへの移行が期待されたが、住民登録番号が定着しているため、期待以上の成果は挙げられていない。そのため、「住民登録番号=インデックス」といい問題は今なお残り続けているのだという。
「マイナンバー」セキュリティソリューションの選択基準
韓国の住民登録番号と同様に、マイナンバーでもセキュリティの問題を以前から指摘されている。コラムでもマイナンバーを安全に管理するためには、高度な暗号化処理だと強調している。暗号化処理の方法で最も信頼されているのが、個人の識別が可能な情報を隠し、代理の情報に置き換えるというもの。
代表的なのが「トークン化(Tokenization)」や「FPE(Format-preserving encrなどの方法だ。トークン化した機密データは、万一他人に盗まれたとしても、正常に復元することはまず不可能とされている。
国内の情報セキュリティ市場は、今後マイナンバーの取り扱いに目が向けられている。特に、トークン化のようなセキュリティソリューションは、国内の情報セキュリティ市場を大きくリードすると見込まれている。マイナンバーに注目するのは情報セキュリティ商材を扱う企業だけでなく、国家レベルでのインフラ事業も考えられるという。
実際にマイナンバーを取り扱う国内企業にとっては、セキュリティリスクの回避策の検討を早急に進める必要がある。セキュリティソリューションを導入した場合でも、既存のITシステムでキュリティを十分に確保することは難しく、点検も簡単なことではない。
具体的には、「本当に安全な暗号化なのか」「従来のプロセスを害することはないか」「ソリューションを導入するには、従来のシステムにどのくらいの修正が必要となるのか」「修正作業の難易度はどの程度なのか、複数のシステムが繋がっている連携システムの場合、システム間のネットワーク通信区間のセキュリティは安全なのか」など、考慮すべき点は山積みだという。
導入費用も重要なポイントだという。低性能の製品を高価格で販売するなど、悪意を持った事業者は必ずといっていいほど出てくるためだ。コラムでは、最も考慮すべきは「データの暗号化」であり、導入の際には、暗号化の専門企業と十分に相談し、適切に対応できる体制を整えることが必要だとまとめている。
