マイナンバー対応の問題をチャンスに変えた出来事：萩原栄幸の情報セキュリティ相談室（3/4 ページ）

[萩原栄幸，ITmedia]

自社のために作ったシステムを商品にする

　一説によれば、マイナンバー制度への対応に伴うシステム経費は総額で1兆円以上にもなるという。経営者の中には、「節約したい」「万一の漏えいリスクは最小限に」「マイナンバー制度は不要だ」と不満を持つ人が少なくない。それなら、「経費をかけて作ったシステムなら、商品にして他社に売り込めば……」という発想も出てくるだろう。C社の経営者はそう考えた。

　C社は自社で開発するシステムの販売や保守・コンサルタントなどを新規事業にするべく、IT系企業と手を組むことにした。その第一弾として資本提携先の数社に呼び掛け、会社の枠を超えてマイナンバー対応システムを開発中だという。

　システム管理者が自社のシステムを検討する際、「費用をかけず」「既存システムに影響を与えず」「管理も簡単に」という気持ちが自然な発想である。これにビジネスという経営者の視点を加える。自社だけで使うのであれば経費に過ぎないが、ビジネスという視点にすれば戦略的投資に変わる。マイナンバー対応に限らず、創造力で様々なアイデアを出してビジネスにしてしまうことを実践している経営者は少なくない。

　マイナンバー制度のように、どんな企業にも共通した課題に対応するシステムのニーズは高い。自社にとって良いシステムは他社も求める。同じような業種・業態なら、なおさらのことだろう。そのニーズをうまく取り込んでシステムを開発・商品化し、販売する。業種・業態に類似性がある数社〜数十社から案件が取れればビジネスになるし、購入側も納得のいく費用で必要なシステムを調達できる。双方に“Win-Win”の関係が成立するはずである。

　C社もこう考えたわけだ。まずマイナンバー対応システムとして最も重要になるのは、「正確に入力できる」ことと、それぞれ利用企業のフォーマットに応じて保護されていること、安全かつスムーズにマイナンバー情報を役所などに通知できるようにすること。これらの要件を満たすシステムに、万一の事態に備えた「情報漏えい防止」の仕組みを安価で加えられるようにする。重要なポイントは、「漏えいしても実態被害のないこと」「漏えいした場合に適切に対応できること」だ。C社らが開発するシステムは、こうしたセキュリティを強化したことに尽きる。利用企業としては、まさにこのセキュリティが要となるからだ。

　マイナンバーは絶対に漏えいさせないことが理想ではあるものの、現実にはマイナンバーに限らず情報漏えいを100％確実に防ぐことは不可能である。前回もお伝えしたように、万一情報が漏えいしても、実被害のない状況にすることが現実的な対応となるだろう。その基本は次の通りだ。

1. マイナンバーと個人情報が紐付かない（しにくい）
2. マイナンバー自体が強固な暗号化で守られている（漏えいしても中身が分からない）
3. 改ざん不可能なログ管理・分析が行われている（漏えい経路を特定できる）
4. 情報の伝送経路の安全が確保されている（VPN＋アルファの経路上のセキュリティ強化など）

　また情報が漏えいした場合に、適切な対応ができるシステムとしての条件は次のものが挙げられる。

1. 防御壁が多数あり、漏えい個所の速やかな特定と周辺システムに影響を与えない防御が確保されている
2. .システム管理者などの内部犯罪を防止する「振る舞い検知」を備える（C社が商品化するシステムは2016年に搭載するという）
3. 漏えいデータについて件数、種別、契約企業などの詳細情報を判別できる多重的な仕組みを備え、マスコミ対応を含む手順がパターンごとに準備されている

　ここまできめ細やかな対応ができるシステムが可能になるのは、マイナンバー制度が全ての企業で対応しなければならない仕組みだからだ。全てを調べたわけではないが、一般的なセキュリティのパッケージ商品では網羅できないだろう。

　C社のような取り組みは、業種・業態のピンポイントで決められた対応に合致している強さがあり、汎用的ではないが、ピタリとはまれば、これほどニーズに的確なシステムはないという、両極端なシステム作りがある。