藤沢市が語るマイナンバーに向けた情報セキュリティの勘所

2015年秋に始まる「番号制度」（マイナンバー）に向けて自治体では個人情報の保護や情報セキュリティへどのように取り組んでいるのか。神奈川県藤沢市での事例をみてみたい。

[國谷武史，ITmedia]

風光明美な湘南に位置する藤沢市

　「社会保障・税番号制度」（通称：マイナンバー制度）が、2015年10月からの国民への個人番号通知を皮切りにスタートする。全国の自治体では同制度の運用に向けた準備が進められているが、特に機密性の高い個人情報の保護と情報セキュリティの強化が求められるだろう。11月に開催されたトレンドマイクロのカンファレンス「DIRECTION」で神奈川県藤沢市が情報セキュリティへの取り組みを紹介した。

　人口約42万人の藤沢市は県中南部に位置し、江ノ島や湘南海岸など全国的に知られる観光地を抱える。総務部参事兼IT推進課長の大高利夫氏によれば、マイナンバーへの取り組みは関連法案などが成立する前の2011年5月にスタート。まず部長級以上を対象に庁内で説明会を実施し、マイナンバーが自治体にとって大きな取り組みとなることを事前に啓発した。

藤沢市IT推進課長の大高利夫氏

　本格的な準備は2013年7月からで、庁内関係者や議会、市民への説明のほか、庁内における全体計画の作成、組織体制の整備、事務作業などを円滑に実施するための全庁調査（関係部署や事務の洗い出し、業務フローの見直し、個人番号の本人確認など）を実施している。2014年度はシステム面や「特定個人情報保護評価（PIA）」の対応作業も進む。

　情報セキュリティの観点から大高氏は、「脆弱性や不正など、国民はマイナンバーのリスクに不安を感じている。情報セキュリティは規模に関わらず全ての自治体が取り組むべき課題だが、職員の少ない自治体も含めて一律にというのは非常に難しいだろう」と指摘する。規則や技術的な対策だけでなく、マイナンバーの業務に関わる人的な面からセキュリティを強化していく必要があるという。

　マイナンバーを含む個人情報の保護で、自治体に実施を義務付けられているのがPIA（Privacy Impact Assessment）だ。内閣官房から出されたPIA実施のガイドラインではマイナンバー関係事務と予測されるリスクの評価、システムや業務、教育におけるプライバシー保護施策、国民への公表、運用の評価と改善などに取り組むことが求められている。

　大高氏は、個人情報の保護のために取り組むべきことはセキュリティの強化であり、「セキュリティの強化＝PIA実施」ではないと話す。PIAの実施はあくまでセキュリティの強化するための方法であり、それ自体が目的化してしまっては本末転倒だ。この点は自治体でのPIAに限らず、情報セキュリティ関連の様々な認証取得を目指す企業にも当てはまるだろう。

　個人情報保護に向けた安全管理措置は、組織的、物理的、人的、技術的な4つの項目にわたる。特に人的な安全措置では規則などの周知徹底はもとより委託契約や秘密保持契約などが関わり、個人情報を取り扱う全ての担当者への研修と意識の啓発が必須だ。マイナンバー関係事務にまつわるリスクの評価では番号法に示された事務について、業務フローや条例・規則、情報システムへの影響度を事務ごとに評価する。さらには、番号法に示されていない関連事務も同様に評価し、事務内容や変更、担当部署や関係者などを明確化しておかなければならない。

安全管理措置におけるポイント

　技術的な安全管理措置ではアクセス制御・管理や暗号化、システムの構成管理・監視など、民間企業にも当てはまる内容が多い。大高氏は特にログの重要性を取り上げており、万一の際でも事象を把握できるようにログの保存や確認ができる仕組みを整備しておくことが求められる。小規模な自治体など単独で技術的な安全管理措置を講じることが難しい場合は、外部の専門機関の支援を活用することも必要だという。

　こうした点以外にもマイナンバーの運用に伴うセキュリティ強化ポイントは少なくない。システム面だけでも、例えば既に複数ある専用端末（住基ネットへの接続など）にマイナンバー業務の端末が加わり、通常業務のための端末も含めてどう安全に運用管理していくかといった点が挙げられる。システムやネットワークの構成と運用も複雑になる。

マイナンバーで自治体の情報システムの運用はさらに複雑になると予想される

　将来的にマイナンバーは、より広範な行政サービスへの活用も検討されているだけに、藤沢市の取り組みはマイナンバーを契機にセキュリティ強化が求められる自治体だけでなく、情報活用とセキュリティのバランスに悩む民間企業にとっても参考になりそうだ。