想定業務と情報漏えいのリスクから考える、中小企業の「マイナンバー対策」:すべての民間企業、団体が対象(2/2 ページ)
企業のマイナンバー対応が急がれる。中でも遅れがちな中小企業はどうするか。マイナンバーの第一人者 富士通総研経済研究所の榎並氏とデジタルアーツが、想定業務と情報漏えいのリスクから考える、中小企業のマイナンバー対策案を説明した。
想定される業務と情報漏えいのリスクより考えるマイナンバー対策
マイナンバー対策で、情シス部門の役割とは何か。情報漏えい対策ソリューションを展開するデジタルアーツが、主に中小企業の情シスに向けたマイナンバー対応の具体策を説明した。
マイナンバー対応に必要な安全管理処置には以下が分類される。これは自社、委託先ともに同等に管理することが求められる項目となる。
- (A)基本方針の策定(全体の基本方針を決める)
- (B)取扱規程などの策定(取り扱い方法を定める)
- (C)組織的安全管理対策(組織体制を整備し、運用する)
- (D)人的安全管理処置(事務取扱担当者の監督、教育を行う)
- (E)物理的安全管理処置(電子媒体などの漏えい対策を行う)
- (F)技術的安全管理処置(ファイル管理、漏えいなどを防止する)
このうち、IT関連部分の(E)(F)が情シス部門の管轄となる。技術的処置には「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセスなどの防止」「情報漏えいなどの防止」が挙げられる。
マイナンバーは大まかに分けて「収集」「保存・利用」「提供」「削除・廃棄」の各業務から、それぞれ誰が、何をするかを分担して対処する。中小企業では例えばExcelなどの身近なファイルで情報を管理し、運用するかもしれない。フローは比較的シンプルだが、情報漏えいの観点では「内部犯行」「外部からの脅威」「誤送信などの人的ミス」「委託先からの漏えい」「使用後の廃棄漏れ」がリスクになる。
この場合、内部の悪意への対策が不十分なことを第一に、さらに社外業務のコントロール、人的ミスや外部の脅威なども考慮すると「出さない」を100%防ぐのは難しい。「このため、中小企業には“出してから”も対処できるソリューションを考察してほしい」(デジタルアーツ エンタープライズ・マーケティング部担当部長の松森健一氏)という。
この“出してから”を対処できるファイル暗号化・追跡ソリューションとして用意するのが「FinalCode」だ。ファイルの暗号化や追跡といった一般的なIRM(Information Rights Management:ファイルに対し、暗号化・閲覧編集制限・操作履歴記録などを行う対策)ツールに対し、リモートで権限の変更やファイル消去を制御できる「あとから消せる」機能を備えることを大きな特徴とする。ファイル単位で閲覧者を指定し、ログを取得できることで、社内、委託先それぞれで漏えい対策が行える。
FinalCodeは、クラウド版のFinalCode ASPで10ライセンス25万円/年から。ユーザー向け専用ビュワーはWindows、iOS、Androidに対応。自社で管理運用するオンプレミス版も用意する。
関連記事
- 特集:情シスのための「マイナンバー対応」対策指南
すべての企業は、このマイナンバーに社として対応する必要が迫られています。本特集は、「マイナンバーとは何か?」から、自身が「どう対策すべきか 選定・導入・運用」の課題に特化して具体策をまとめていきます。 - 元米政府セキュリティ高官のシュミット氏、安全保障やスノーデン事件を語る
オバマ政権のサイバーセキュリティ特別補佐官などを歴任したハワード・シュミット氏が、デジタルアーツの海外戦略アドバイザーに就任。来日会見でサイバーセキュリティの在り方やスノーデン事件などについて言及した。 - “ファイル送信後”の情報漏えい対策に注力するデジタルアーツ
Webフィルタリングを手がけるデジタルアーツが事業戦略を説明。法人向けを強化し、ファイル暗号化サービスやメールフィルタリングサービスなどに注力していくという。 - シャドーITとはこれでおさらば!? 企業をむしばむ無断使用ツールを「断捨離」する3つのステップ
重大なセキュリティ事故などを引き起こす恐れがある「シャドーIT」問題。連載を締めくくる今回は、その具体的な対策方法について3つのステップで解説しよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.