2015年4月号Vol.98

【トレンドビュー】番号制度へ、さらなるセキュリティー意識の向上を

地方公共団体情報システム機構 情報化支援戦略部(セキュリティ支援担当) 次長 石川家継

セキュリティーイメージ

 いよいよ今年度から社会保障・税番号(マイナンバー)制度が始まります。地方公共団体では特定個人情報を取り扱うこととなり、今まで以上に個人情報の保護、情報セキュリティー対策の強化が必要です。マイナンバー元年を迎えるにあたり、改めて情報セキュリティー対策が求められる背景やリスク、今後の対策などを考えてみます。

情報セキュリティー対策の背景

 情報セキュリティーの分野では日々新たな脅威が発生し、サイバー攻撃も後を絶ちません。情報セキュリティー対策に終わりはないといわれますが、昨年度は委託業者の従業員による大量の個人情報漏えい事件や、Webブラウザー等に対する修正プログラムの適用が間に合わない、いわゆる「ゼロデイ攻撃」等の新たな脅威が発生するなど、その取り巻く環境には厳しいものがありました。

 一方、わが国の情報セキュリティー戦略の基盤となる法律として、昨年11月に「サイバーセキュリティ基本法」が成立しました。同法では、地方公共団体に対して「サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有する」としています。マイナンバー制度の運用を控えて、情報セキュリティー対策は“待ったなし”の状況といえ、従来にも増して対策強化が不可欠となっています。

実施すべき対策とリスク

 マイナンバーでは、複数の機関がそれぞれ個人番号やそれ以外の番号を付して管理している“同一人の情報”を紐付けし、相互に活用することとなります。地方公共団体の既存システムは中間サーバと接続し、これを介して情報提供ネットワークシステムで情報連携が行われます。ネットワーク全体のセキュリティーを考えると一カ所でもレベルの低い部分があればリスクとなるため、各地方公共団体が対策レベルを向上させることが重要となります。

 その情報セキュリティー対策は、「技術的対策」と「管理的対策(組織的対策と人的対策)」に分けられます。

 技術的対策でまず考えられるのは、中間サーバへの接続です。これについては、国から示された技術的な仕様に準じて、システムベンダー等と協力し対策を実施していくことが肝要です。一方で、懸念されるのが管理的対策です。これは地方公共団体が自ら行わなければならないものです。

 総務省の調査(平成26年4月1日現在)によると、組織的対策として①情報セキュリティーポリシーの未策定あるいは未改訂、②情報セキュリティーの管理者や担当者の任命なし、③重要な情報資産の持ち出し禁止規定の未策定、④情報セキュリティー監査(内部+外部)の未実施――と回答した団体が未だ多数あります。これらの団体では早急に必要な整備を行うことが求められます。

 また人的対策では、①情報セキュリティー研修の未実施、②緊急時対応訓練の未実施、という回答が目立ちます。これらの対策は普段から取り組んでおくべき事項と考えられ、未実施の団体ではセキュリティー事案発生の潜在的なリスクを抱えているといえます。

 さらにマイナンバー制度を考えると、申請書や交付物の取り扱いなど、窓口での対策も欠かせません。一定期間に大量の郵送物を発送・受領する時、あるいはカード交付時などリスクはどこに潜んでいるか分かりません。システム面や管理面だけでなく、運用面でのリスクの把握と対策も必要といえます。

罰則強化に注意

 さて、マイナンバーは社会保障・税・災害対策分野の中で、法律で定められた行政手続きに利用されます。その利用においては、以下のような保護措置がとられています。

 行政手続きにおける特定の個人を識別するための「番号の利用等に関する法律(番号法)」の規定によるものを除き、特定個人情報の収集・保管、特定個人情報ファイルの作成は禁止されています(番号法第20条、第28条)。さらに番号法では罰則の強化がされています(同第67条~第77条)。

 例えば、個人番号利用事務等に従事する者が正当な理由なく特定個人情報ファイルを提供した場合は、4年以下の懲役もしくは200万円以下の罰金、またはこれを併科されることになります。これは類似の法律である行政機関個人情報保護法・独立行政法人等個人情報保護法と比べ、懲役・罰金ともに2倍に引き上げられています。

 制度を十分理解せずに運用するということが、どれほどのリスクになるのか、きちんと押さえておくことも必要です。そのためマイナンバーとともに情報セキュリティーに関する研修を行うことで、発生しうるリスクをできるだけ軽減し、法令に基づいた運用が行われるようにしなければなりません。

人は石垣、人は城の精神で

 地方公共団体情報システム機構(J–LIS)では、マイナンバー制度の理解や情報セキュリティー対策強化に関して各種支援事業を展開しています。

 制度の理解については、「マイナンバー制度の研修会」開催に加え、ホームページ「社会保障・税番号制度関連情報コーナー」での情報提供、動画共有サイトユーチューブでの「先進団体の取り組み事例紹介」などがあります。

 また、情報セキュリティー対策では、管理的対策として「緊急時の対応手順書」を策定する予定です。ここではシステムダウンや情報漏えいなどインシデントごとの対応手順を考えています。

 さらに、外部と接続するネットワークやホームページは特に注意が必要です。万一、内部ネットワークに侵入されると情報の詐取やシステムダウンにつながります。そこで技術的対策として、地方公共団体のホームページやWebサーバー等の脆弱性を診断する「セキュリティ健康診断」や、「ウェブ感染型マルウェア検知」といった支援事業を無償で提供しています。ぜひ、これらの積極的な活用をお勧めします(詳しくはJ–LISホームページをご覧ください)。

 とはいえ、いくら強固なセキュリティー対策を装備しても運用を怠れば意味がありません。やはり最終的に決め手となるのは、石垣や城といった“堅固な対策”ではなく、“人”に尽きます。情報セキュリティーに関する規定等の整備・運用と研修などを通じて意識の向上を図り、セキュリティー対策の確実な運用を行っていただきたいと考えます。

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介