ITpro Special
週間WEEKLY ITpro Special ITpro

民間企業のための「マイナンバー」カンファレンス 2 REVIEW|人事・経理責任者が知っておくべきマイナンバー安全対策の盲点

エンカレッジ・テクノロジ

人事・経理責任者が知っておくべき
マイナンバー安全対策の盲点

マイナンバー対応を進める上で重要なのは、その安全管理措置への対応だ。個人番号が不適切に扱われ外部に漏洩するような事態は、従業員のプライバシー侵害に加え企業の信頼の失墜にもつながる。マイナンバーの安全対策を検討する主幹部門である人事・経理責任者が、理解しておく必要があるのは、マイナンバー関連システムの保守・運用業務における内部不正が最もリスクが高く、優先して対応すべき部分であるということだ。

マイナンバー安全対策の盲点とは

エンカレッジ・テクノロジ株式会社
マーケティング部長
日置 喜晴

 マイナンバー対応を主導する人事・経理責任者に対し、「システム保守・運用業務のマイナンバー安全対策を検討の視野に入れていますか」と呼びかけるのは、エンカレッジ・テクノロジの日置喜晴氏だ。

 多くの企業は、利用中の人事・給与システムを改修/バージョンアップすることで個人番号の取り扱いを予定しているようだ。個人番号を保管するデータベースを追加する一方、関係事務担当者のみが個人番号にアクセスできるよう制御を設けたり、誰がいつ個人番号にアクセスしたのか、ログが残るような機能を追加したりすることで、安全性を確保することができる。

 「これには盲点があります」と日置氏は説明する。それはシステムを保守・運用する担当者に対しての安全管理がシステム改修では機能しないからだ。人事・給与システムの保守・運用担当者は業務上、サーバーやデータベースに管理者権限(特権ID)を使用して直接アクセスする。したがって、その権限を悪用すれば、格納された個人番号の閲覧や変更、削除が可能である。

人事・給与システムの改修で対応可能な業務範囲と別途対応が必要な範囲
マイナンバーガイドラインの技術的安全管理措置の主要な要件を網羅する
[画像のクリックで拡大表示]

 「たとえアプリケーション側でアクセス制御やアクセスログを取得するようロジックを実装したとしても、保守・運用担当者の特権IDを使ったアクセスには対応できないのです」(日置氏)

 しかも、過去に発生した内部からの情報漏洩事件の多くは、システムの保守・運用を担当する社員や委託先の技術者によって引き起こされている。システム管理再委託先の派遣社員が大量の個人情報を持ち出し、名簿業者に転売した事件は記憶に新しいだろう。その事実がリスクの大きさを示している。

 つまりマイナンバーの安全対策について事務担当者側にばかり目を向けていると、システムの保守・運用業務が、大きな盲点になりかねないのだ。

 ではどうすればよいか? 日置氏は、事務担当者側と同様に安全対策を講じる必要があると説明する。具体的には保守・運用業務における(1)適切なアクセス管理、(2)アクセス者の識別、(3)アクセス内容の記録と点検、の三つになる。

保守・運用業務の安全対策を実現するソリューション

 しかし、保守・運用者業務の場合、通常とは異なる工夫が必要だ。

 第一に保守・運用業務の性質上、制限されたIDでは業務が成り立たないため、付与すべき権限を極端に制限ができない場合が多い。よって行うべきは、アクセスが必要な場合に限って権限を貸し出すような管理の仕方になる。

 一方で、アクセス者を識別するための工夫もしなければならない。Administratorといった特権IDを複数の担当者で共有していると、誰によるアクセスなのかが識別できなくなるためだ。これには、いつ誰にIDを貸与したのか記録することが必要だ。

 そしてもっとも重要な対策は、アクセスした内容をすべて記録し、適切な頻度で点検を行うことだ。前述した通り、業務上高い権限を使用する場合、その権限の濫用が大きなリスクとなる。例えば、個人番号データベースにアクセスし、保管されている個人番号の一部を修正する業務において、それ以外の個人番号を不正に閲覧したり、持ち出したりされる可能性がある。そうしたリスクを抑えるには、アクセス内容を監視・記録し点検するしかない。

 エンカレッジ・テクノロジではこのようなシステム保守・運用業務の安全管理措置に対応するソリューションを提供する。

 大規模なシステムに対応するのが「ESS AdminControl」と「ESS REC」を組み合わせたソリューションだ。申請・承認ベースでの特権ID貸出やパスワードの自動定期変更、アクセスログの収集と未承認アクセスの検出、特権IDを使用したアクセス内容の動画形式の記録、リアルタイムの監視と不正操作の即時アラートなど、システム保守・運用業務における内部不正を防止する様々な機能を提供する。

 今回、新たに発表したのが、小規模なシステムを対象とする「ESS AdminGate VA」だ。特権IDのアクセス制御やアクセス内容の記録、不正な操作に対するアラートなど、必要な機能は網羅しつつ、オールインワンパッケージとして提供される。マイナンバーの不正な持ち出しを防ぐための持ち出しファイル検査機能も新たに追加される。しかも仮想アプライアンス方式で提供されるため、インストール作業なども不要だ。最短で設置後1時間程度で使用開始できる手軽さ。費用もサービス型で、利用規模に応じて支払う方式を採用した。

 これらのソリューションを利用すると、権限の付与・はく奪やログの取得・点検などを自動化・効率化し、管理負荷を低減させることができる。

規模に応じたパッケージ
二つのソリューションで大規模から小規模までカバーする
[画像のクリックで拡大表示]

まずは現状を確認し、対策の検討を

 以上のようにシステムの運用・保守業務に対する安全対策は、マイナンバーの安全な取り扱いを実現する上で重要な取り組みだ。「しかし当社が知る限り、着実に検討を進めている企業は少ないようです」と日置氏は言う。人事・経理責任者からは、システムにかかわる部分は専門であるシステム部門に任せればよいという声が聞こえる。一方システム部門からは、人事・経理部門からの方針を待っており、その方針に従って対応するという声が多い。

 今こそ人事・経理責任者は、重要な従業員の情報を漏洩リスクから守り、安全に管理するため、関連部門を巻き込み着実に対策を講じる検討をすべきである。中でも人事・経理システムの保守・運用業務に対する安全対策は、もっとも優先すべき部分だ。まずは、現状を確認した上で、追加で講じるべき対策の検討を急ぐべきだ。

 エンカレッジ・テクノロジは、これまで手掛けた企業の課題解決で培ったノウハウを基に、マイナンバー制度施行開始までに、確実な安全対策を講じられるよう支援を行っていく構えだ。

お問い合わせ
  • エンカレッジ・テクノロジ株式会社

    TEL 03-5623-2622
    URL http://www.et-x.jp/