今から間に合うマイナンバーの安全対策 企業が押さえるべきはココ！

マイナンバー制度の開始が目前に迫る中、多くの企業がその対応に追われている。ただ、各種ガイドラインを見ても「具体的にどうするの？」と頭を抱え、とりわけセキュリティ対策で戸惑う中小企業が少なくない。マイナンバーの安全確保に向けたノークリサーチ シニアアナリストの岩上由高氏のアドバイスと、その実践に役立つ具体的なソリューションを紹介しよう。

[PR／ITmedia]

PR

　2016年1月に「マイナンバー制度」がスタートする。「マイナンバー」という新たな仕組みに対する企業の認知度は、政府の広報活動などもあって徐々に高まりつつあるものの、残念ながらその対応における具体的な内容への理解はあまり進んでいないようだ。

　中堅・中小企業を対象にノークリサーチが2015年1月に実施した「マイナンバー制度への対応」に関する調査によると、制度を知る企業は9割を超える。しかし調査を取りまとめたシニアアナリストの岩上由高氏は、「残念ながら制度の内容を深く理解しているのはごく一部にとどまる」と指摘する。調査結果をみると、「自社対応すべき事項もすべて把握している」という企業は、2014年7月時点で13.4％だが、2015年1月時点も15.4％であり、わずか2％しか増えていない（グラフ1参照）。

グラフ1：マイナンバー制度の認知状況 出典：2015年版中堅・中小企業における法制度対応に関する動向レポート（ノークリサーチ）

　マイナンバー対応は全ての企業の義務であることを考慮すると、これは見逃すことのできない状況だ。岩上氏も制度開始時点で、この割合が急速に高まることはないだろうと予想する。制度開始に先駆けて2015年10月から国民へ12桁のマイナンバーの通知も始まるだけに、残り少ない時間で中堅・中小企業はどう対応を進めるべきなのだろうか。

個人情報とマイナンバーの違いとは？

　岩上氏が真っ先に挙げるポイントが、「個人情報」と「マイナンバー」の違いを正しく理解することである。従来の個人情報は、基本的な権利の保護を原則とした上で情報を提供する側と利用する側との同意によって利用範囲が具体的に決まってくる。一方、マイナンバーは利用目的が明確に決められており、法律で規定された目的以外の利用は一切認められない。

　そこで想定されるのが、「目的外利用が禁止されていることを知らずに、マイナンバーを社員番号に利用したり、社員情報と組み合わせて利用してしまうといった、悪意のない行為」（岩上氏）である。悪意がなくても、結果的に目的外利用をしてしまうことで、法律によって罪を問われかねないのだ。

　「マイナンバー対応では人事給与システムなどの更新や、専用システムの構築を含めたアウトソーサーの活用などが検討されているものの、いずれのケースでも目的外利用が厳しく禁止されていることを知らないまま対応を進めてしまうと、潜在的なリスクが高まるだろう」と岩上氏は警鐘を鳴らす。

セキュリティ対策の水準をどこに合わせるべきか

　マイナンバー制度では情報を厳格に管理するために必要なセキュリティ対策を企業に義務付けている。ただ、民間企業向けにガイドラインで提示されている対策方法と、法律で要求されるセキュリティレベルに大きな開きがあるとも岩上氏は指摘する。

ノークリサーチ シニアアナリスト 岩上由高氏

　「ガイドラインが示すセキュリティ対策の内容は“理想的な”ゴールといえるものだが、具体的にどのように対応すればよいか、企業の間で戸惑いが生じてしまっている。時間と予算に余裕があれば、ガイドラインの内容を完全に準拠することも選択肢の1つになるが、既に制度開始まで半年を切っており、中堅・中小企業では予算も限られる。「この状況を勘案すれば、法律が求める最低限のセキュリティレベルを確保できる対策を確実に遂行するという取り組みも現実解の1つとなってくる」（岩上氏）

　その取り組みの起点は、上述した“悪意のない”ケースも含めてマイナンバーの目的外利用を確実に防ぐことだ。そこで考えられる効果的な対策の1つとして岩上氏は、「アクセス制御」と「アクセス監視」を挙げている。

　「アクセス制御」は、限定されたマイナンバーの事務取扱担当者以外の社員がマイナンバーにアクセスしてしまうことを防ぐ。具体的には、目的外利用につながりかねない最初の対策ポイントである認証を適切に行い、事務取扱担当者以外の人物が情報にアクセスしないようにする。

　「アクセス監視」は、誰（どの部署）が、いつ、どのようにマイナンバーへアクセスしたのかをログ情報から監視、管理するものだ。万一の事態が発生してもログ情報を頼りに、その時点の状況を把握することが可能になり、問題が人間に起因するものか、組織に起因するものかといった調査にも役立つ。事実を適切に提示できなければ企業としての責任を厳しく問われるだけでなく、社会的な信用を失い、最悪のケースなら倒産や事業の撤退といった事態に陥りかねないのだ。

　岩上氏によると、自身のマイナンバーを会社に提出する社員が、自社のセキュリティレベルに懸念を抱くようになることも想定され、会社側としては社員の懸念を払しょくしないといけない。「しかし、人の意識に頼るだけでは、やはり対策に漏れが生じかねない。社外だけではなく社内からの信頼も維持し続けていくために、企業は技術的な方法も活用しながら、マイナンバーの安全を確保していただきたい」とアドバイスしている。

---

マイナンバーを守る「安心セット」のススメ

　ここまで見てきたように、企業がマイナンバー対応を進めていく中でまず取り組むべきポイントの1つが、重要なマイナンバーの目的外利用を防ぐことにある。そのための方策として注目したいのが、NECの提供する「マイナンバー安心セット」の活用だ。

　「マイナンバー安心セット」は、中堅・中小企業がマイナンバー制度に対応する際に必要とされるセキュリティ対策の仕組みを既存システムに追加していける特徴を持つ。NECの豊富な知識とノウハウをもとに開発され、システムへの安全なアクセスを実現する「顔認証ログオンセット」、データベースのアクセス履歴を管理する「アクセスログ監視セット」、データの暗号化によりマイナンバーを保護する「データ暗号化セット」で構成される。マイナンバーのセキュリティ対策を短期間、かつ、網羅的に実施できるよう支援してくれる頼もしい存在となるだろう。

3つのセットでマイナンバーの安全を確保する「マイナンバー安心セット」

　3種類のセットのうち、上述の岩上氏の提言にある「アクセス制御」を支援するのが、「顔認証ログオンセット」だ。同セットは、PC内蔵もしくは外付カメラで撮影したユーザーの顔の画像を用いてWindows PCのログオン認証を行う。

　PCのログオン認証ではIDとパスワードを使うのが一般的だろう。しかし、IDとパスワードが分かれば誰でもログオンして、システムにアクセスできてしまう。外部からのサイバー攻撃などによって盗まれてしまう恐れがあるのはもちろんのこと、社内でもIDとパスワードをメモ書きしている実態も多く、IDとパスワードだけの認証では不正なアクセスを防ぎ切れない。

　しかし、ユーザーの顔を利用する生体認証であれば、不正なアクセスによるリスクを大幅に低減できる。「顔認証ログオンセット」に搭載されるNECの顔認証ソフト「NeoFace Monitor」は認証精度が極めて高く、顔画像の解析においては世界最高水準を誇る^※。顔認証ログオンセットによってマイナンバーを扱う人事給与システムへアクセスする環境を用意すれば、事務取扱担当者以外のアクセスを遮断できる環境を容易に構築できる。

※「NEC、米国国立標準技術研究所(NIST)の顔認証技術 ベンチマークテストで3回連続の第1位評価を獲得」

認証は“PCの前に座るだけ”

　「顔認証ログオンセット」によるログオン操作は、極めて簡単でユーザーに負担がかからない。認証に必要な操作は、カメラに顔が映るようPCの前に座るだけだ。実際に顔認証を試してみると、まずEnterキーを押して顔認証画面を表示する。するとその瞬間に認証が完了してしまう。認証に要する時間は1秒にも満たないだろう。体感的には“あっと言う間”としか例えようがないほどで、ユーザーは顔認証を特に意識することなく、座ると同時に作業に取り掛かれる。

顔認証によるログオンの様子。正規のユーザーがPCの前に座ったその瞬間に処理が完了してしまう

　また、顔認証の機能はログオン後も続けて動作しており、ユーザーが席を離れてカメラに顔が映らなくなると、PCがロックされる。再び席に戻るとまた瞬時にロック解除が完了するので、ユーザーがちょっとした用事で離席しても、その間にマイナンバーを盗み見られる心配は無用だろう。事務取扱担当者などユーザーの顔画像の登録も簡単だ。

　認証操作の履歴はログとして保存されるので、作業履歴や認証の失敗の有無も把握できる。認証に失敗した顔画像も保管されるので、誰が不正ログオンを試みたのかも分かる。

　顔認証ログオンセットを活用することで、マイナンバーを扱うシステムへのアクセスのセキュリティレベルを高めながら、ユーザーに手間がかからず業務効率も担保できるようになるだろう。

万一の事態に備える対策も活用しよう

　岩上氏の提起するもう1つの「アクセス監視」に対応するのが、「アクセスログ監視セット」である。

　ログ管理の有効性は認識していても、専任のIT担当者が不在なことの多い中堅中小企業では、運用できていないケースもあるだろう。さらに、データベースのログによるアクセス監視では、データベースのログの内容が極めて難解であり、その意味を読み解ける人材をなかなか確保しづらいといった課題が挙げられる。

　このため「アクセスログ監視セット」は、人事給与システムのデータベースのログを管理ソフト「ALog ConVerter DB」を利用して、専門知識を持たない管理者でも内容を理解できるようにログの情報を変換して表示してくれる。「誰が」「いつ」「どのデータに」「何をしたか」といった情報について、ユーザーの操作履歴に沿った形式のレポートを自動的に作成する。

専門家でないと難解な生ログを、専門知識を持たない管理者にも分かりやすい形式でレポートを作成する

　ログを監視することで、マイナンバーを扱うシステム上での社員の操作履歴が“見える”ようになるため、万一の事態が起きてもその状況を速やかに突きとめることができるだろう。また、マイナンバー関連データのアクセス頻度などをもとに、管理者にアラートを発信することもできる。例えば「業務時間外のアクセスが多い」といった条件を設定しておき、しきい値を超えるアクセスが検知されると、管理者にアラートして不審な操作による被害の発生を未然に食い止めることができるだろう。

　これまで「ログの分析は大変」と敬遠してきた企業なら、ぜひマイナンバーのセキュリティ対策をきっかけに活用を検討したい。

　さらに、マイナンバー安心セットではマイナンバーのデータを暗号化して保護する「データ暗号化セット」を用意している。万一HDDが持ち出しや盗難によって外部に流出しても、データは暗号化されているので、悪用されるリスクを低減できる。セットに同梱されている暗号化対応ストレージ「iStorage M110」が、データを自動的に暗号化して保存するので、管理者がうっかりデータの暗号化操作を忘れてしまう恐れもない。

---

　ノークリサーチの調査結果で興味深いのは、回答企業の多くがマイナンバー対応を通じてセキュリティの向上を目指す意向を持っているという点だ（グラフ2参照）。マイナンバー制度をセキュリティ対策の見直す機会と前向きに受け取っている。

グラフ2：マイナンバー制度に対する基本方針（複数回答可） 出典：2015年版中堅・中小企業における法制度対応に関する動向レポート（ノークリサーチ）

　「マイナンバー対応が企業の義務であるなら、むしろ好機ととらえ、これまで抱えてきた情報管理やセキュリティ対策の問題を解決し、“攻め”の経営に向けた基盤固めに乗り出そうとする企業が少なくない」（岩上氏）

　企業がマイナンバー制度への対応で取り組む範囲は実に広いが、極めて機密性が高いマイナンバーの安全を確保することが非常に重要だ。そのセキュリティ対策の現実解ともいえる「マイナンバー安心セット」は、マイナンバー対応と今後のセキュリティ強化に大いに貢献してくれることだろう。