マイナンバーのセキュリティ対策 面倒な事態を避けるには？：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

これから社内で取り扱っていくマイナンバーという“新しい情報”ではセキュリティが重要だといわれる。システム管理者や経営者はどう向き合えばいいのかを解説しよう。

[萩原栄幸，ITmedia]

システム管理者が理解すべきこと

　筆者は企業のシステム管理者やベンダーから情報セキュリティや内部犯罪、個人情報保護、サイバー攻撃などの質問を多数受けるが、その中で特に最近聞かれるのが「マイナンバーの取り扱い」だ。前回もお伝えしたが、そのポイントはマイナンバーとそれに関する周辺情報になる。

マイナンバーは従来の情報とどこが違う？

　マイナンバーは、個人と“1対1”で紐付けられる恐らく唯一無二の情報である。これまでは住所だけ、氏名だけ、生年月日だけといった1つの成分の情報だけでは本人特定に至る可能性が低いものの、これらを幾つか組み合わせることで本人特定ができた。

　例えば、「1989年7月15日」の生年月日の情報だけで個人を特定することはできない。同じ誕生日の人が何千人といるからだ。これに、例えば「神奈川県横浜市」を追加する。多分、対象は数十人〜数百人の範囲に狭まるだろう。さらに「山田」という情報を加味すると、その範囲は数人以下になるにかもしれない。

　ところが、マイナンバーはその数字情報だけで個人を特定できてしまう。しかも、漏れなく必ず番号が存在（本人が存在）する。マイナンバーは住民票コードと似ているように思いがちだが、住民票コードは企業内システムで管理すべきものではないため、マイナンバーとはその性格が全く異なる。つまりマイナンバーは、様々な個人情報と呼ばれる「項目」の中で最も重要な「個人情報」というわけだ。

　マイナンバーは今まで存在しなかった“新しい情報”となるため、既存システムでの取り扱いは「追加情報」として認識されることになる。上述のように極めて重要な情報ではあるが、システムからみれば「追加情報」の1つに過ぎない。そういう状況になるのはやむを得ないが、セキュリティを考えれば、この追加情報ではアクセスコントロールが大切であり、十分な検証が必要となる。

セキュリティポリシーをどうする？

　著者はこれまでも様々な情報セキュリティポリシーの策定や保守を行ってきた。マイナンバーという“新しい追加情報”に対してはあくまで一般論だが、次の点に注意してほしい。

　アクセスコントロール――原則は従来のアクセス許可者（権限者）とは全く異なる許可者を策定すべき。許可者が重複すると、情報が流出したり、流出時に致命的な状況をもたらしたりする恐れがある。従来の個人情報とマイナンバーが一緒に漏えいして簡単に個人特定されてしまうような最悪の事態だけは絶対に避ける。

　情報漏えい防止策――様々なソフトやツールが販売され、それらをうまく組み合わせるのが良いだろう。しかし原則は、最重要レベルの情報という認識を持ってログの収集や管理を徹底すること。昨年（2014年）の大規模な情報漏えい事案のように、「USBメモリだけは監視してました」では絶対に通用しない。システム管理者は、OSや外部記録媒体などの急激な動向の変化へ常に気を配り、最新の製品でも検知ができる工夫が求められる。それでも100％の防衛策にならないのは辛いところだが……。

　バックアップ――各種トラブルやサイバー攻撃、内部犯罪、物理的な破損、災害などのリスクに備えた対応として身近だろう。筆者が見てきた企業の中には、例えば不正アクセスを発見しても阻止できない場合に、データを完全消去させて被害を食い止めようと考えているところがあった。後で物理的に完全に隔離しているバックアップ側からデータを復元してログベースで更新を行えばよいという考えだ。

　マイナンバーは、氏名や住所などの情報に比べると変更される可能性は極めて低いため、この方法が有効だとも意見もある。企業によって異なるが、バックアップのタイミングや使用するツール、物理的な保存形態、暗号化の有無など検討項目が多い。特に金融機関などは、システム全体をホットスタンバイとしてサービスを中断なく提供（ただし費用負担が大きい）していくなら、実際に中断なくシステムの切り替えがうまくいくかどうかも必ず検証しておきたい。

　バックアップをセキュリティに利用することは、広義の意味では事業継続計画（BCP）やコンティンジェンシープラン（緊急時対応計画）の中に含ませて検証すべきだが、ここまで広く検証できる企業は限られるので、仕方なく後回しにする場合でも、「いつまでに検証する」といったことを明示することは最低限してほしい。