マイナンバー対応で求められる企業の管理責任、内部情報漏えいを防ぐには？

2015年10月に始まるマイナンバー制度では12桁の「マイナンバー」などの機密情報を安全に管理することが全ての企業に義務付けられている。マイナンバー制度への対応をきっかけに、企業や組織が重要な情報を安全に管理していくための方法を紹介する。

[PR／ITmedia]

PR

マイナンバー対応の“肝”は安全管理措置

　「行政手続における特定の個人を識別するための番号の利用等に関する法律」（マイナンバー法）が2015年10月5日に施行され、同法に基づく「社会保障・税番号制度」（マイナンバー制度）が2016年1月1日から運用される。

　マイナンバーとは、国内に住民票を持つ全ての国民に対して、2015年10月から通知される12桁の数字の「個人番号」だ。民間企業では2016年1月以降、健康保険や年金などの手続き、源泉徴収票への記載にマイナンバーを利用する。そのため、事前に従業員から本人とその家族のマイナンバーを収集して確認を行い、制度で決められた業務での利用と、マイナンバー関連情報の厳重な保管・管理、確実な廃棄・消去が義務付けられている。

　企業におけるマイナンバー制度への対応で最も頭を悩ませる課題が、マイナンバー関連情報の安全な管理だろう。

　というのも、マイナンバーは氏名や住所などの様々な個人情報と関連付けて利用することから「特定個人情報」に指定されており、社外へ漏えいしてしまうと大きな問題となる。実際、マイナンバー法では不正利用や情報漏えいに対して懲役や罰金による厳しい罰則が規定されている。従来の「個人情報保護法」は原則として5000人以上の個人情報を保有する事業者が対象だったが、マイナンバー法は全ての企業が対象であり、従来は個人情報保護法と無縁だった企業でも同法に基づく安全な情報管理体制を構築しなければならない。

マカフィー サイバー戦略室 シニアセキュリティアドバイザー 佐々木伸彦氏

　Intel Securityグループの中核を担うマカフィーは、マイナンバー関連情報の漏えいを防ぐソリューションを中心に企業のセキュリティ強化を支援するソリューションを提供している。

　同社のシニアセキュリティアドバイザーを務める佐々木伸彦氏は、マイナンバー制度への対応について「民間企業にとっては義務ですが、そこでうたわれている安全な情報管理は、大切な情報を不正利用や漏えいなどのリスクからしっかり守るという基本的な取り組みです。むしろマイナンバーへの対応をきっかけとして、自社の情報管理への確固たる信頼を得るチャンスと言えます」と語る。

社内からの情報漏えいや外部からの不正アクセスを防げ！

　マイナンバー制度への対応で民間企業に求められる安全管理措置は、具体的に「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の中で規定されている。特に物理的および技術的な措置として注目したいのが、「電子媒体等を持ち出す場合の漏洩等の防止」（物理的安全管理措置）と「アクセス制御」「外部からの不正アクセス等の防止」「情報漏洩等の防止」（技術的安全管理措置）だ。

　まず情報漏えいのリスクに関わる「電子媒体等を持ち出す場合」や「情報漏洩等の防止」では具体的にデータや通信経路における暗号化、パスワードで保護可能なツールの使用が推奨されている。また、「アクセス制御」としては個人番号と紐付けてアクセスできる情報の範囲やマイナンバーを扱う情報システム自体へのアクセスを限定したり、システムの利用を「事務取扱担当者」に制限したりするなどの方法が挙げられている。

マカフィーの情報漏えい対策ソリューション構成イメージ

　情報漏えいリスクに対してマカフィーではエンドポイント向けDLP（Data Loss Prevention）製品「McAfee DLP Endpoint」や暗号化スイート製品「McAfee Complete Data Protection」、ネットワーク型DLP製品の「McAfee DLP Monitor」「McAfee DLP Discover」「McAfee DLP Prevent」によるソリューションを提供する。

　対策を講じるには、まず社内にある全てのマイナンバー情報の所在を把握しないといけないが、システム環境が複雑かつ大規模になるほど、その作業は困難を極めるだろう。そこでマカフィーはMcAfee DLP Endpointで利用可能なマイナンバー情報検出用ルールテンプレート（無償）を用意している。

　McAfee DLP EndpointではWebやメール、ファイル共有、USBメモリ、印刷といったシステムから外部へのファイルの流通を監視し、マイナンバー関連情報を含むデータの漏えいをブロックする。ユーザーがルールテンプレートをMcAfee DLP Endpointに設定することで、システム内をスキャンしてハードディスクに保存されているマイナンバー情報を含むファイルを見つけ出したり、マイナンバー情報を含むファイルの外部への不正な流通を監視・ブロックすることが可能になる。ネットワーク型DLP製品ではマイナンバー関連情報を検出するカスタムルールを設定することによって、ネットワーク上にあるファイルサーバやデータベースサーバをスキャンしてマイナンバーデータを含むファイルを検出したり、Webやメールなどのネットワークトラフィックを監視してマイナンバーデータの不正な流通を検知、遮断できるようになる。

マイナンバー関連情報を含むファイルが添付されたメールをブロックした様子

　McAfee Complete Data Protectionでは持ち出し用PCなどのドライブ全体、特定のファイルやフォルダに保存されるデータを暗号化する。コンピュータに接続されたリムーバブルメディアの暗号化もできる。McAfee DLP Endpointで検出されたマイナンバー情報を含むデータは、McAfee Complete Data Protectionを利用して自動的に暗号化して保護することも可能だ。

　DLP製品や暗号化製品を活用したソリューションは、マイナンバーに限らず企業内に散在している様々な種類の重要情報を漏えいのリスクから保護してくれるプラットフォームになるだろう。まずはDLP製品や暗号化製品の活用をマイナンバー情報に特化させてスモールスタートでも始められる。

　「マイナンバーは用途や保管場所を明確に決めた運用が必要となるのでDLPなどのソリューションを導入させやすいでしょう。そこから社内にちらばっている重要情報の特定や整理、保護に広げていくこともできます」（佐々木氏）

　企業にとって情報漏えいは重大な経営リスクの1つであり、様々な対策手段も提供されているが、まず社内にどのような情報資産が存在しているのかを確実に把握し、情報資産の重要度などに応じて適切な保護を講じることが優先される。だが、社内に散在した情報資産は、把握するだけでも手間のかかる作業だ。マイナンバー制度への対応を含めて情報資産の保護にマカフィーの情報漏えい対策が大きく貢献してくれそうだ。

　さらに中長期な観点から注目したいのが、「McAfee SIEM」である。McAfee SIEMは、セキュリティ製品やシステムから出力されるログを集約して相関関係を分析して脅威を迅速に突きとめ、被害抑止などへの貢献が期待される。

　「平時でもログ分析からデータの流通状態や業務プロセスを可視化できます。社内における日常的なIT活用状況を把握することで、業務プロセスから逸脱した利用が起きていないか、意図しない挙動が発生しているユーザーや端末はないかなど、コンプライアンスの強化にも役立てられます」（佐々木氏）

　また、ガイドラインでは不正アクセス対策などについては（1）ファイアウォールやセキュリティ対策ソフトを導入する、（2）入出力されるデータに不正ソフトが含まれているかチェックする、（3）ログなどを定期的に分析して不正アクセスを検知する――といった手段が提示されている。

　昨今では高度な未知のマルウェアを駆使する標的型サイバー攻撃が増加し、被害に遭った企業では脅威の侵入に気が付けず被害が長期化する傾向にある。マイナンバー関連情報が攻撃者の標的になる可能性も想定されるだけに、外部からの脅威を迅速に検知、遮断する対策が求められる。

　不正アクセス対策としてマカフィーは、ネットワーク型不正侵入防止（IPS）「Network Security Platform」、サンドボックス型マルウェア解析の「McAfee Advanced Threat Defense」や次世代ファイアウォールの「McAfee Next Generation Firewall」、Web／メールゲートウェイセキュリティ、上述したログの相関分析から脅威を検知する「McAfee SIEM」、また、エンドポイント/サーバ向けの総合セキュリティスイートなどの製品を展開しており、実績に優れた広範なソリューションに強みがある。

安全な情報管理を支える体制づくりも

　情報漏えい対策をはじめとする企業のセキュリティでは、その運用の“基盤”ともいえる組織的、人的な取り組みも重要だ。上述のガイドラインでも組織と人の両面から、民間企業に安全管理措置を講じるように求めている。多くの企業でセキュリティ対策に関する基本方針や規定、管理体制などが整備されているが、マイナンバー制度への対応に合わせて、ぜひ既存の仕組みも見直したい。

　マカフィーでは組織や人に関わるセキュリティ強化を支援するサービスとして、「セキュリティポリシー策定支援サービス」と「セキュリティ教育トレーニングサービス」をプロフェッショナルサービスで提供している。

　例えば、マイナンバー制度への対応では既存の人事関連などの業務プロセスにマイナンバーの取り扱いが加わる。「ガイドラインでは番号の収集、本人確認、利用、保管、破棄というライフサイクルが決められています。ライフサイクルが現在の運用管理の仕組みとどう違うのかを確認し、その差分を埋めていくことが重要です」（佐々木氏）

　人的な安全管理措置についてガイドラインではマイナンバーの事務取扱担当者の監督および教育を求めている。佐々木氏によれば、多くの企業で情報の管理責任者があいまいになっており、マイナンバー制度への対応では早急に改善しなければならない点だという。同社のプロフェッショナルサービスでは企業内のプロセスを確認して、運用体制の設計や整備、責任者の設置などを支援する。「セキュリティポリシー策定には通常では数カ月を要しますが、ガイドラインの項目は中小企業でも取り組みやすいものなので、制度開始までに対応できるようスピーディーに支援します」（佐々木氏）

ガイドラインの安全管理措置とマカフィーのソリューション。※引用：「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」。詳しくは内閣官房のWebサイト『「マイナンバー社会保障・税番号制度」事業者のみなさまへ』をご参照ください

---

　マカフィーでは効果的な製品連携によって運用の負担を軽減し、さらには的確な対応を促すことでセキュリティ対策のコストを最適化できる「Security Connected戦略」を掲げている。マイナンバー制度への対応で求められる安全な情報管理においても、同社のSecurity Connected戦略に基づくソリューションは力強い存在だ。

　また、マカフィーのマイナンバーセキュリティ対策ページでは民間企業・地方公共団体がそれぞれ実施すべきセキュリティ対策をソリューション例を交えて分かりやすく解説している。マイナンバー関連情報の安全な運用体制の構築を通じて企業全体の大切の情報資産を守る仕組み作りに、ぜひマカフィーのセキュリティソリューションを活用していただきたい。