「マイナンバーのPCはネットから分離せよ」は正しい？ 間違ってる？：半径300メートルのIT（1/2 ページ）

マイナンバー制度への対応では「取り扱いPCはインターネットから切り離す」とも言われていますが、それは本当でしょうか？　セキュリティ対策のこれまでの考え方を変える必要がありそうです。

[宮田健，ITmedia]

　先日、僚誌「＠IT」主催のマイナンバー関連セミナーに登壇させていただきました。マイナンバーに関する連載「みならい君のマイナンバー制度対応物語」筆者の打川さんの聞き手として、皆さんのマイナンバーに対する疑問を取り上げました。

　その中では、すぐにコラムに取り上げられそうな話もありました。例えば、「誰かがマイナンバーをFacebookに投稿するのはもちろんダメ（第19条の提供制限）だけど、それを“いいね”したりコメントしても、アクティビティとして広めてしまうのでダメ（番号法第20条の収集制限）」というようなことも飛び出し、マイナンバーに関する話はまだまだ尽きないと感じました（イベントレポートはこちら）。

　そしてそこで、ちょっと気になる質問が会場から出てきました。「企業ポリシーとして“マイナンバー取り扱いPCはインターネットから切り離す”とされていて、どうすべきか悩んでいる」というものです。

マイナンバーに関する番号法では……

　「行政手続における特定の個人を識別するための番号の利用等に関する法律」、通称「番号法」では秘密の管理として安全性、信頼性を確保するために必要な措置を講じなければならないとありますが、厳密に「インターネットと切り離せ」という明確な指示はありません。

第二十四条

総務大臣並びに情報照会者及び情報提供者は、情報提供等事務（第十九条第七号の規定による特定個人情報の提供の求め又は提供に関する事務をいう。以下この条及び次条において同じ。）に関する秘密について、その漏えいの防止その他の適切な管理のために、情報提供ネットワークシステム並びに情報照会者及び情報提供者が情報提供等事務に使用する電子計算機の安全性及び信頼性を確保することその他の必要な措置を講じなければならない。

　しかし、例えば、「企業年金連合会」において、厚生労働省年金局長からの通知には、「特定個人情報等について（中略）インターネットと物理的又は論理的に切断」せよとしています。これまでのことを考えると、意図は分からなくはないですね。

企年連、国基連又は企業年金等は、特定個人情報等について基幹システム 又はそれに類するシステムで取り扱う場合にあっては、当該システムは、インターネットと物理的又は論理的に切断すること。また、特定個人情報等を 取り扱う作業は、インターネットと物理的に切断されたパソコン等で行う等適切な措置を講じ、特定個人情報等の適正管理を徹底すること。

（企業年金等に関する特定個人情報の取扱い準則.PDF）

　ここでは、「論理的に切断」という表現もあるので、おそらくファイアウォールなどの仕組みが入っていれば、この通知に逸脱せずに対応ができそうです。