マイナンバー対応ふまえた、日本企業「データ保護」の課題：無防備「内部犯行」（3/3 ページ）

[岩城俊介，ITmedia]

統一したデータセキュリティプラットフォーム化のためのクラウド用暗号化ゲートウェイ製品

　セキュリティやコンプライアンス観点で、クラウドへの保管は不安──。日本企業の多くが抱く懸念を解消する目的で、Vormetricとアズムはクラウド環境にあるデータを暗号化する機能拡張ソフトウェア「Vometoric Cloud Encription Gateway」の販売も5月12日にはじめた。

クラウド用暗号化ゲートウェイ「Vometoric Cloud Encription Gateway」　DSMへの機能拡張ソフトウェアとして、クラウド保存の前にデータを暗号化し、暗号鍵とポリシーは常に管理下に置ける。マイクロソフトのOneDrive対応は2015年Q4、他サービスとの連携も順次対応する予定という

　Vometoric Cloud Encription Gatewayは、AWS（PaaS）、Amazon S3、Box（クラウドストレージ）などのパブリッククラウドサービス利用において、データを保存する前に暗号化するゲートウェイとして、同社のDSM「Vormetric Data Security Manager（DSM）」とともに使う。

　クラウドストレージへ保存される前に、オンプレミス環境下で暗号化＋ポリシーを設定し、DSMが暗号鍵とポリシーを管理する仕組み。データの保存場所がどこであろうと、暗号鍵とセキュリティポリシーは常に企業の管理下に置ける。パブリッククラウドを利用してもデータの権限を自社で掌握できることをポイントに据えた。

　Vormetric DSMは、物理環境、仮想環境、クラウド環境など、どこにデータが存在してもすべての暗号化とアクセスポリシーを一元管理する同社データセキュリティプラットフォームの中核モジュール。データへのアクセス、アクセス試行、使用状況の詳細を可視化でき、コンプライアンスとデータ監査の要請にも迅速に対応できることも強みに挙げる。連邦情報処理基準（FIPS）140-2 レベル2／レベル3認証を取得したハードウェアアプライアンス、あるいは仮想アプライアンスで提供され、需要に応じて柔軟に拡張できる。

日本では「マイナンバー対応」もよい機会の1つに

　日本の企業はもう1つ、2016年1月に運用が始まる「マイナンバー制度」への対応を企業として行っていく必要に迫られている。

　マイナンバーを含めた特定個人情報の取り扱いにおいて、すべての企業は政府のガイドラインに沿った安全管理処置が義務付けられる。特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」、厚生労働省・経済産業省告示「個人情報の保護に関する経済産業分野を対象とするガイドライン」などにて、企業が対策すべき安全管理処置の一環とする情報漏えいの防止手法として「データの暗号化」やパスワード保護、「暗号鍵やパスワードの適切な管理」が明記されている。

単一のプラットフォームで保存データのセキュリティ対策が行える点を強みとする

　オンプレミス、クラウド、どこへデータを保管するにせよ、保存データを防御することを念頭に置いたデータセキュリティプラットフォームの考え方は、マイナンバー対応も満たす重要な対応になる。

　Vormetoricは、一元化した保存データセキュリティのためのソリューションとして、非構造化データも扱えること、他社製品も含めて暗号鍵を統合管理できること、既存システムの改修なしに導入できること、ユーザーは暗号化を意識することなく透過的にデータやアプリケーションにアクセスできることなどをメリットに挙げる。日本のさらなるクラウド化活性促進とともに、すべての企業が対応しなければならないマイナンバー対策を機会に、ITセキュリティの新たなあり方を検討するのもよい機会と訴求していく考えだ。

マイナンバーとは

　マイナンバーは国民一人ひとりに固有の12ケタの番号を割り当て、それに基づき国民の生活や収入など各自の事情に応じた行政サービスの迅速化を図る目的のもの。2016年1月に開始する。主に（当初は）、社会保障制度（年金、医療、介護、福祉、労働保険）、税制（国税、地方税）、災害対策に関する分野に使われる。2015年10月よりマイナンバーが付番された通知カードが国民一人ひとり届き、個々の申請手続きによって個人番号カードが交付される。

　事務を担当する機関は行政機関や自治体などだが、提出までの企業年金や健康保険といった業務や従業員のマイナンバー収集や以後の管理は個々の民間企業、ないしその委託先が担う。例えば、税分野に関しては税務当局だけでなく申告する民間企業側で番号の収集と管理の対応が必要となる。基本的には、すべての民間企業や団体が当てはまる。

　マイナンバーは「特定個人情報」であり、取り扱いが厳格に規定されている。これまで個人情報保護法では対象外（5000件以下）の事業者であっても、それを1件でも取り扱うならばマイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）における「個人番号関係事務実施者」となり、規制の対象になる。罰則も個人情報保護法より種類が多く、法定刑も重くなっている。

　マイナンバーの取り扱いにおいて民間企業は「必要な範囲を超えて扱わない」「情報漏えいしないよう安全に管理する」「取り扱う従業者を教育、監督する」「委託先を監督する」などの義務や責務を負う。具体的には、マイナンバー制度の開始までにマイナンバー収集におけるの厳格な本人確認を行うシステムや漏えい防止のための安全管理処置を講じる社内ITシステムやポリシー制定、改訂を行っていく必要がある。データ保護については、例えば「データの暗号化」や「パスワード保護」、そして「暗号鍵やパスワードの適切な管理」を行うようガイドラインで示されている。

　マイナンバー関連業務をアウトソースするにも、その委託先が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。

• 2015年秋からスタートする「番号制度（マイナンバー）」とは何ですか？