マイナンバー、サーバー監視で「完全防御」は可能か?

04-S-04_06

2017年1月から本格運用が始まるマイナンバー。
しかし、多くの中小企業は未着手であったり、大企業も、セキュリティ面において取り組み状況はまちまちです。
本記事では、マイナンバーのセキュリティ対策をどのように取り組むかについてお伝えします。

「完全な防御」は可能か?-ポイントを押さえた対策を

ガイドラインに従って全て実施しようとすると、コストや負担が大きくなります。
これでは取り組み自体が進まないことにもなりかねません。
ポイントを押さえて、効率よく対策を実施していくことが大切です。

ポイント1ー業務プロセスの明確化

まず1つめのポイントは、「マイナンバー対応で追加される社内の業務プロセスを明確化すること」です。

マイナンバー対応は、大きくわけて、以下のような業務プロセスが追加されます。

人事・給与・厚生関係の業務プロセス
個人番号の取得
本人確認(同意)
各分野への個人番号の追記・転記(システム連携・外部委託を含みます)
目的外利用の排除(個人番号記載の住民票の廃棄 等)
退社等に伴う、個人番号の廃棄・削除
(法定保存期間終了後、定期的に破棄作業を行います)

上記の業務プロセスで盲点になりやすいのは、マイナンバーを記載した書類やマイナンバーは、個人情報保護法と異なり、廃棄・削除する必要があることです。

保存期間終了後、削除漏れ防止のために自動アラートを出したり、年に数回程度、定期的に削除することをルール化する等、業務プロセスに落とし込んで整備していくことが重要です。

ポイント2ー多重・多層のセキュリティ

2つめのポイントとして、サイバー攻撃に対する多重・多層のセキュリティ対策を実施します。
多数発生している個人情報漏洩事件から窺えるように、情報漏洩の要因は、内部からの漏洩と外部からの攻撃の2つに分類できます。

これら2つの脅威に対抗するためには、
「内に対してはこの対策、外に対してはこの対策」
といった、型で押したようなセキュリティ対策では対抗できません。

(関係者による)内部不正と外部からのサイバー攻撃は、複合的に発生することが散見されます。そのため、1つの対策に頼らず、多重・多層のセキュリティを講じることが求められています。
内、外のセキュリティを、物理セキュリティ、組織的セキュリティ、ネットワークセキュリティ、クライアントセキュリティ、データセキュリティなどの観点で、多重・多層化されているか見直すことをおすすめします。

ポイント3ーセキュリティに100%を求めない

3つめのポイントは、セキュリティ対策に100%を求めないことです。
過去に情報漏洩事故を起こした企業を見ると、十分な対策を行っているにも関わらず事故が発生しているケースがほとんどです。
攻撃を完全に防ぐことはできない、と考えることが重要でしょう。

どんなにセキュリティ対策を行っても、防御は必ず破られます。
そこで重要になるのは、防御を破られても、すぐに対策して情報を外に出さないようにする取り組みです。
例えばログを証拠として残したり、通信パケットの記録・再構築を行って被害を最小化するといった取り組みが有効です。高価なツールを導入できなくても、PDCAサイクルで定期的に見直すルールを作るだけでも、問題の発見を早めることが可能です。
必要に応じて、デジタル・フォレンジックツールの予防的な活用や、SDN技術を使ったセキュリティ対策を自動化等、新技術による新しいソリューションの導入を検討するのも良い施策と言えます。

今後、すべての企業は、否応なしにマイナンバー対応を行う必要があります。

IT部門だけですべてに対応することはできませんが、システム対応を含め、対応の要件を把握できるIT部門、情報システム部門が主導的な旗振りを行っていくことが望ましいでしょう。