想定業務と情報漏えいのリスクから考える、中小企業の「マイナンバー対策」：すべての民間企業、団体が対象（2/2 ページ）

[岩城俊介，ITmedia]

想定される業務と情報漏えいのリスクより考えるマイナンバー対策

デジタルアーツ エンタープライズ・マーケティング部担当部長の松森健一氏

　マイナンバー対策で、情シス部門の役割とは何か。情報漏えい対策ソリューションを展開するデジタルアーツが、主に中小企業の情シスに向けたマイナンバー対応の具体策を説明した。

　マイナンバー対応に必要な安全管理処置には以下が分類される。これは自社、委託先ともに同等に管理することが求められる項目となる。

• （A）基本方針の策定（全体の基本方針を決める）
• （B）取扱規程などの策定（取り扱い方法を定める）
• （C）組織的安全管理対策（組織体制を整備し、運用する）
• （D）人的安全管理処置（事務取扱担当者の監督、教育を行う）
• （E）物理的安全管理処置（電子媒体などの漏えい対策を行う）
• （F）技術的安全管理処置（ファイル管理、漏えいなどを防止する）

　このうち、IT関連部分の（E）（F）が情シス部門の管轄となる。技術的処置には「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセスなどの防止」「情報漏えいなどの防止」が挙げられる。

マイナンバー対応で実施する「安全管理処置」

　マイナンバーは大まかに分けて「収集」「保存・利用」「提供」「削除・廃棄」の各業務から、それぞれ誰が、何をするかを分担して対処する。中小企業では例えばExcelなどの身近なファイルで情報を管理し、運用するかもしれない。フローは比較的シンプルだが、情報漏えいの観点では「内部犯行」「外部からの脅威」「誤送信などの人的ミス」「委託先からの漏えい」「使用後の廃棄漏れ」がリスクになる。

マイナンバー業務で発生する情報漏えいのリスク

　この場合、内部の悪意への対策が不十分なことを第一に、さらに社外業務のコントロール、人的ミスや外部の脅威なども考慮すると「出さない」を100％防ぐのは難しい。「このため、中小企業には“出してから”も対処できるソリューションを考察してほしい」（デジタルアーツ エンタープライズ・マーケティング部担当部長の松森健一氏）という。

　この“出してから”を対処できるファイル暗号化・追跡ソリューションとして用意するのが「FinalCode」だ。ファイルの暗号化や追跡といった一般的なIRM（Information Rights Management：ファイルに対し、暗号化・閲覧編集制限・操作履歴記録などを行う対策）ツールに対し、リモートで権限の変更やファイル消去を制御できる「あとから消せる」機能を備えることを大きな特徴とする。ファイル単位で閲覧者を指定し、ログを取得できることで、社内、委託先それぞれで漏えい対策が行える。

FinalCodeはファイルを「守る」「記録・不正検知する」に加え「あとから消せる」のが特長。企業の課題だがなかなか対策しにくかった、内部不正対策と間接情報漏えい対策ができるようになる

　FinalCodeは、クラウド版のFinalCode ASPで10ライセンス25万円／年から。ユーザー向け専用ビュワーはWindows、iOS、Androidに対応。自社で管理運用するオンプレミス版も用意する。

• →特集：情シスが率先して実施する「企業のマイナンバー対応」対策指南

番号法・企業の対応と注意点のバックナンバー

• 情シスが率先して実施する「企業のマイナンバー対応」対策指南
• 2015年秋からスタートする「番号制度（マイナンバー）」とは何ですか？
• 「マイナンバー」への対応で実施すべき5つのポイント
• 民間企業における「マイナンバー」対応の具体的な内容と注意点（前編）
• 民間企業における「マイナンバー」対応の具体的な内容と注意点（後編）
• 企業版のマイナンバー「法人番号」とは？
• 想定業務と情報漏えいのリスクから考える、中小企業の「マイナンバー対策」